WordPress

Wordpress: Sicherheitsupdate 4.5.2 und ImageMagick

Wordpress 4.5.2, ein wichtiges Sicherheitsupdate, steht seit vergangener Woche zum Download bereit. Wer automatische Updates auf seinem selbst gehosteten Wordpress aktiviert hat, dürfte das Update noch am gleichen Tag der Veröffentlichung erhalten haben. Alle anderen müssen das Update manuell anstoßen oder herunterladen und installieren. Wordpress 4.5.2 behebt zwei als kritisch eingestufte Sicherheitsprobleme mit integrierten Bibliotheken und Scripten von Drittanbietern im Wordpress-Kern.

Das Update aktualisiert unter anderem Plupload. Diese Bibliothek wird von Wordpress benutzt, um Dateien hochzuladen. Anscheinend war es Angreifern möglich über Lücken die Kontrolle über eine Wordpress-Instanz zu gewinnen und Schadcode auf der Präsenz auszuführen. Der Fehler betrifft alle früheren Wordpress-Versionen. Außerdem wurde eine Cross-Site-Scripting-Lücke (XSS-Lücke) geschlossen. Vor allem durch das Script MediaElement.js war es anscheinend Angreifern möglich die Lücke auszunutzen, um über manipulierte Links Schadcode in Präsenzen unterzubringen. Die Drittanbieter haben selbst auch reagiert und für Plupload und Mediaelement.js Updates zur Verfügung gestellt.

Wordpress und ImageMagick

Die Entwickler haben außerdem im Blog auf eine gravierende und bekannt gewordene Lücke mit Bezug zu ImageMagick aufmerksam gemacht. Die Ausnutzung der als „ImageTragick“ bezeichneten Sicherheitslücke ist zwar bei einer Wordpress-Instanz eher unwahrscheinlich, allerdings wird ImageMagick von Wordpress von Haus aus unterstützt, was einige Nutzer durchaus wachsam sein lassen sollte. Wer auf seinem Blog Bilder-Uploads durch Benutzer zulässt, sollte unbedingt die Hinweise (Englisch) auf dieser Seite lesen, und so schnell wie möglich ein Fix für ImageMagick installieren oder seinen Provider danach fragen. Die Lücke kann unter Umständen auch per Remote Code Execution (RCE) ausgenutzt werden. Es gibt Fälle, in denen das bereits passiert sein soll.

Die ImageMagick Lücke betrifft allerdings nicht nur Nutzer von Wordpress, sondern generell alle Benutzer auf deren Host ImageMagick installiert ist. Besonders wachsam müssen Nutzer von TYPO3 CMS sein. Denn ImageMagick ist in der Standardkonfiguration von TYPO3 ziemlich stark eingebunden, was eine gefährliche Mischung machen kann. Auch hier wird als Bedingung für die Ausnutzung der Lücke aktivierte Bilder-Uploads vorausgesetzt. Die TYPO3-Entwickler haben unterdessen dazu angeraten auf Graphicksmagic umzusteigen, wenn man die Lücke nicht selbst schließen kann oder der Provider sich damit Zeit lässt.

ImageMagick-Lücke kann gravierende Folgen haben

Ob die Lücke unter Umständen auch ohne eine CMS-Anbindung ausgenutzt werden kann, ist hingegen noch nicht ganz klar. Es gibt aber laut Experten Hinweise darauf. Das macht das Problem insgesamt jedoch noch komplizierter. Viele Provider haben ImageMagick installiert. Und viele dieser Provider haben ImageMagick in den vergangenen Jahren kaum aktualisiert. Das kann noch ein gewaltiges Problem werden – vor allem, wenn die bekannt gewordene Lücke auch immer häufiger zum Einsatz kommt. Betroffen wären nicht nur Websites von privaten oder kommerziellen Anbietern, sondern auch Seiten von Regierungen von Universitäten. Diese haben in den vergangenen Jahren immer häufiger zum Einsatz von Open Source zurückgegriffen.

Tags
Mehr

Akif Sahin

Akif Sahin | Blogger, Muslim, Speaker und SEM-Experte aus Hamburg | Schreibt zu analogen und digitalen Themen wie Social Media, (Online-)Marketing, Feuilleton und WordPress.

Weitere Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Back to top button
Close