image

WordPress dicht beveiligingslek dat voor SQL injection kan zorgen

dinsdag 31 oktober 2017, 17:28 door Redactie, 18 reacties

WordPress heeft vandaag een beveiligingsupdate uitgebracht voor een kwetsbaarheid waardoor een aanvaller databases van websites kan stelen en websites zelfs kan overnemen. Het beveiligingslek bevindt zich in een functie waar plug-ins en themes gebruik van maken.

WordPress "core" is niet direct kwetsbaar, maar om te voorkomen dat plug-ins en themes onbedoeld een kwetsbaarheid veroorzaken is het gedrag van de functie aangepast. Voor de meeste ontwikkelaars van plug-ins en themes zal dit echter geen gevolgen hebben, zo laat WordPress in de aankondiging weten. Beheerders van WordPress-websites krijgen het advies om meteen naar WordPress 4.8.3 te updaten. Dit kan via WordPress.org of de automatische updatefunctie.

Reacties (18)
01-11-2017, 16:20 door Anoniem
Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)
01-11-2017, 17:56 door Anoniem
Aan anoniem van 16:20

Diversen hebben niet bijgewerkt tot versie 8.3 van de software.

De 'core' van dit CMS is niet zo kwetsbaar. Wordt goed getest en van updates voorzien.

De narigheid zit hem meer in de misconfiguraties - user enumeration op aan en directory listing aangezet.

Verder de plug-ins die niet van de laatste updates zijn voorzien of dat niet meer kunnen worden (verlaten code).

Retirable jQuery libraries, zonder same origin regel aangehouden. iFrames etc.
en andere algemene website zwakheden.

Test uw site voor een 'quick and dirty' even hier: hackertarget.com/wordpress-security-scan/
en hier http://domxssscanner.com/

Is dit een beetje wat je verwachtte? Weet dat WordPress ook door grote Amerikaanse CDNs wordt gebruikt.

luntrus
01-11-2017, 19:43 door [Account Verwijderd] - Bijgewerkt: 01-11-2017, 19:43
[Verwijderd]
01-11-2017, 22:06 door Anoniem
Door Neb Poorten:
Door Anoniem: Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)

WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!

Hou toch eens op met dit gezeur.
Leg uit waarom je dit altijd met tranen in je ogen komt verkondigen, en leg het uit in detail, kom met bronnen, ervaringen etc.
Met onzinnige oneliners kom je niet ver in het level Nebje.
02-11-2017, 13:51 door [Account Verwijderd]
[Verwijderd]
02-11-2017, 15:53 door Anoniem
Neb Poorten heeft grotendeels wel gelijk, zij het dan ook voorwaardelijk.

Bij de prutsers, de goedwillenden en de gedoogden als onze variant op de "good, the bad & the ugly" levert PHP vaak een raar soms potentieel gevaarlijk code-brouwsel op . {; Lees er bij StackOverflow maar eens meerdere insteken over. De haren rijzen je soms ten berge.

Natuurlijk PHP en de smalende reacties, die je al krijgt van de eerste jaars IT studenten development (de rapid topology boys and girls in de dop met hun Appel laptoppies) kun je ook uitleggen als "vooroordeel" tegen de goedwillende amateur CMS gebruiker.

Maar omdat degenen, die het gebruiken, het vaak zonder terdege kennis van zaken toepassen, gaat er zeer vaak nogal het een en ander mis bij de gemiddelde Word Press website opbouw. Weer de goeden niet te na gesproken, maar helaas een dikke meerderheid levert brodddelwerk van een laag security gehalte.

Hele verhaal is ook probleemloos te transplanteren naar Magento websites overigens, doe maar eens een https://www.magereport.com/ scannetje. Lekke webshoppies genoeg. We herinneren ons allemaal nog de zogenaamde "De Groot" lijst nog wel.

Hoofdprobleem onwetendheid, onbenul en soms pure lamlendigheid (geen of onvoldoende updates, niet de laatste patches, geen best practices toegepast).

De gevolgen zijn met een shodannetje een SQL evaluatietje en een gericht dorkje wel in beeld te brengen. Gevolgen van e.e.a. met name kwetsbaarheid, misbruik, eindgebruiker ellende en zo verder en zo voort. Wanneer gaan we ons eens eindelijk richten op de minimaal gevraagde basale VEILIGHEID van een op het web geplempte webstek?

luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
02-11-2017, 23:00 door Anoniem
Door Neb Poorten:
Door Anoniem:
Door Neb Poorten:
Door Anoniem: Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)

WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!

Hou toch eens op met dit gezeur.

Ik doe gewoon wat door jou ('Anoniem') gevraagd werd. Ben je dat alweer vergeten? Zie dan je eigen quote.

Door Anoniem: Leg uit waarom je dit altijd met tranen in je ogen komt verkondigen, en leg het uit in detail, kom met bronnen, ervaringen etc. Met onzinnige oneliners kom je niet ver in het level Nebje.

Ik hoef niet ver te komen want ik ben al ver gekomen. Bij de techologiereuzen waar ik heb gewerkt hoef je niet aan te komen met PHP want dan wordt je met pek en veren het pand uitgejaagd. Of op z'n minst gewoon uitgelachen.
En dat is je selectie "bronnen, ervaringen, etc."? Niet geheel onverwacht.
02-11-2017, 23:02 door Anoniem
Door Anoniem: Neb Poorten heeft grotendeels wel gelijk, zij het dan ook voorwaardelijk.

Bij de prutsers, de goedwillenden en de gedoogden als onze variant op de "good, the bad & the ugly" levert PHP vaak een raar soms potentieel gevaarlijk code-brouwsel op . {; Lees er bij StackOverflow maar eens meerdere insteken over. De haren rijzen je soms ten berge.

Natuurlijk PHP en de smalende reacties, die je al krijgt van de eerste jaars IT studenten development (de rapid topology boys and girls in de dop met hun Appel laptoppies) kun je ook uitleggen als "vooroordeel" tegen de goedwillende amateur CMS gebruiker.

Maar omdat degenen, die het gebruiken, het vaak zonder terdege kennis van zaken toepassen, gaat er zeer vaak nogal het een en ander mis bij de gemiddelde Word Press website opbouw. Weer de goeden niet te na gesproken, maar helaas een dikke meerderheid levert brodddelwerk van een laag security gehalte.

Hele verhaal is ook probleemloos te transplanteren naar Magento websites overigens, doe maar eens een https://www.magereport.com/ scannetje. Lekke webshoppies genoeg. We herinneren ons allemaal nog de zogenaamde "De Groot" lijst nog wel.

Hoofdprobleem onwetendheid, onbenul en soms pure lamlendigheid (geen of onvoldoende updates, niet de laatste patches, geen best practices toegepast).

De gevolgen zijn met een shodannetje een SQL evaluatietje en een gericht dorkje wel in beeld te brengen. Gevolgen van e.e.a. met name kwetsbaarheid, misbruik, eindgebruiker ellende en zo verder en zo voort. Wanneer gaan we ons eens eindelijk richten op de minimaal gevraagde basale VEILIGHEID van een op het web geplempte webstek?

luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Ik zie niet wat de veiligheid van PHP als programmeertaal te maken heeft met 2 amateuristische CMSsen.
Dat is zoiets zeggen als dat alle autos onveilig zijn omdat metaal kan indeuken als je het niet verstevigd met een constructie.
03-11-2017, 08:16 door [Account Verwijderd]
[Verwijderd]
03-11-2017, 08:24 door [Account Verwijderd] - Bijgewerkt: 03-11-2017, 08:36
[Verwijderd]
03-11-2017, 23:06 door Anoniem
Door Neb Poorten:
Door Anoniem:
Door Anoniem: Neb Poorten heeft grotendeels wel gelijk, zij het dan ook voorwaardelijk.

...

luntrus (zich zeer vaak voelende als de spreekwoordelijke roepende in de woestijn).
Ik zie niet wat de veiligheid van PHP als programmeertaal te maken heeft met 2 amateuristische CMSsen.
Dat is zoiets zeggen als dat alle autos onveilig zijn omdat metaal kan indeuken als je het niet verstevigd met een constructie.

Je zit met PHP nog in de bronstijd, waar je je erover verbaast dat alle constructies die je maakt uiteindelijk instorten.

Dus hiss, hiss, hack jezelf de vergetelheid in met je speelgoedtaaltje. Brons is geen staal en zal dat ook nooit worden.

Nogmaals, kom eens met een onderbouwing, we kunnen je 24/7-ge-rant allemaal niet serieus nemen op deze manier.
03-11-2017, 23:55 door Anoniem
Door Neb Poorten:
Door Anoniem:
Door Neb Poorten:
Door Anoniem: Uhm, het is nu wel de bedoeling dat nu iemand reageert over hoe onveilig Wordpress is natuurlijk. ;-)

WordPress is net als bijna alle PHP applicaties structureel onveilig! Speelgoed voor kleine kinderen dat PHP!

Hou toch eens op met dit gezeur.

Ik doe gewoon wat door jou ('Anoniem') gevraagd werd. Ben je dat alweer vergeten? Zie dan je eigen quote.

Door Anoniem: Leg uit waarom je dit altijd met tranen in je ogen komt verkondigen, en leg het uit in detail, kom met bronnen, ervaringen etc. Met onzinnige oneliners kom je niet ver in het level Nebje.

Ik hoef niet ver te komen want ik ben al ver gekomen. Bij de techologiereuzen waar ik heb gewerkt hoef je niet aan te komen met PHP want dan wordt je met pek en veren het pand uitgejaagd. Of op z'n minst gewoon uitgelachen.

PHP weglachen zegt genoeg over deze "reuzen" waar je hebt gewerkt.
PHP is zo goed als de engineers die het schrijven, zoals elke andere taal.
Jammer dat mensen zonder ervaring met iets zo snel dingen opzij schuiven.
Doet me denken aan alle recentelijke flame-wars tussen apple en android fanboys.
04-11-2017, 13:38 door Anoniem
Er is over PHP onveiligheid overigens genoeg te vinden: https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet

Waarom denk je dat Sucuri's Daniel Cid met een speciale php decoder komt of met dit: https://www.unphp.net/decode/788b15af31089576dfcc553a4eddedd0/

en https://github.com/bartblaze/PHP-backdoors/blob/master/PHP%20tools.md

Op PHP gebaseerde CMS erft natuurlijk dit soort ellende van PHP.

Ik zie al veertien jaar Word Press CMS websites en de narigheid die daarbij te voorschijn komt, wil je liever niet weten,
tot grote Amerikaanse CDNs toe, die geloof het of niet nog RCA4 draaien, dat je beter in je browser kunt blokkeren.

PHP is niet de soort van drop, die verboden had moeten worden, maar wees er wel voorzichtig mee.

luntrus
04-11-2017, 16:58 door Anoniem
@ Neb Poorten,

De controverse over hoe gevaarlijk PHP scripts in de werkelijkheid nu werkelijk zijn, blijft overeind,
lees hier eens bij voorbeeld: http://www.computeridee.nl/forum/#!/topic/beveiligen-met-php-onveilig/

Een oudere bijdrage daar (2014), maar verrassend, komen wij daar onze vriend, karma, niet opnieuw tegen?

luntrus
05-11-2017, 09:55 door [Account Verwijderd]
[Verwijderd]
05-11-2017, 09:56 door [Account Verwijderd] - Bijgewerkt: 05-11-2017, 09:56
[Verwijderd]
05-11-2017, 11:32 door Anoniem
Beste Karma, het grapje terzijde zij ons vergeven....

Terug on-topic - doch om van een taal te beweren dat hij inherent onveilig is, dat is nogal wat. Dan moeten er voor de nieuwelingen bij deze taal nog al wat mijnenvelden te doorkruisen zijn, opdat ze met de code niet van 1 naar 0 gaan.
Dit speelt zeker ook op het vlak van bij voorbeeld applicatie veiligheid.

Lees hier eens na wat er in dit verband over gezegd wordt bij StackOverflow: https://stackoverflow.com/questions/1527172/how-secure-is-php
(bron links credits op StackOverflows gaan naar: cheeeckysoft -> links vloor hardened PHP en sanitized PHP: Suhosin http://www.hardened-php.net/suhosin/ & Esser's Month of PHP Bugs project http://www.php-security.org/

Als dit zo vaak wordt aangehaald, deze stelling, dan hebben we tenminste toch wel een heel klein beetje een punt.

luntrus
05-11-2017, 13:56 door Anoniem
Obfuscatie is bij voorbeeld een route die je bij PHP NIET zou moeten nemen (zogeheten 'security through obscurity'), het kan als extra beveiligingslaag wel eens worden ingezet, maar het voegt heel wat complicaties toe, die niet altijd qua security gemakkelijk te overzien of in te schatten zijn.

Dan kan het gaan over snelheid en gedrag (performance), cross browser en cross platform barrières en issues, er kunnen fouten worden geïntroduceerd via obfuscatie, die niet zo makkelijk te herkennen zijn, omdat je hierbij een andere syntax of een andere tool gaat gebruiken.

(info bron = Artur Ejsmont, waar hij zijn bezwaren uit tegen het gebruik van Virtual Meta-Scripting Bytecode).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.