WordPress fixt 12 Sicherheitslücken

Die neue Version 4.5.3 des Content-Management-Systems schließt zwölf Schwachstellen. Im Extremfall könnten Angreifer Webseiten kapern. Auch das beliebte Plug-in Jetpack ist in einer abgesicherten Version erschienen.

Bei WordPress 4.5.3 handelt es sich in erster Linie um ein Sicherheitsrelease, das zwölf Lücken schließt. Von den Schwachstellen sind alle Versionen bis einschließlich 4.5.2 bedroht.

Nutzen Angreifer Lücken aus, können sie unter anderem Web-Seiten lahmlegen und Passwörter zum Übernehmen einer Seite abgreifen. Wer das Content-Managment-System nutzt, sollte zügig aktualisieren. Ein Update gelingt über das Dashboard; sinnvoll ist es, diesen Prozess dort zu automatisieren.

Wichtige Fixes für Jetpack

Das beliebte Plug-in Jetpack zum Optimieren der Geschwindigkeit von WordPressseiten hat ebenfalls ein Sicherheits-Release erhalten. In der neuen Version 4.0.4 haben die Entwickler 3 Löcher abgesichert. So kann man nun sicherer via E-Mail posten, eine XSS-Lücke im Like-Modul wurde geschlossen und das Ausspähen von Feedback über die Kontakt-Möglichkeit soll nun nicht mehr möglich sein….

Neue Masche mit Bewertungserpressungen

Bewertungen im Internet sind so eine Sache. Ursprünglich dazu gedacht, anderen Nutzern Informationen über Leistungen zukommen zu lassen, wird dieses an sich sinnvolle Werkzeug in der Zwischenzeit hauptsächlich auf Google von halbseidenen Typen wie „André Sheydin, http://www.sheydin.de “  dazu verwendet, anderen den Willen aufzuzwingen.

Wenn man als Webhoster nicht sofort Kundendaten liefert und sich Beleidigungen, Drohungen und Belästigungen nicht ‚erduldet‘, dann gibt es eine negative Bewertung. Und das, obwohl diese Lichtgestalt der Cyber-Erpresser noch nicht mal Kunde ist und seine Bewertung (Zitat: „Unglaublich frech, unfreundlich und unprofessionell“) darauf basiert, daß wir den Schutz unserer Kunden höher einschätzen als sein Erpressungsversuch.

Um dem Telefonterror und den Beschimpfungen („A…loch“, „H…bock“, „Drecks….“ Usw.) dieses „Herrn„ André Sheydin von http://www.sheydin.de Herr zu werden mußten wir übrigens seine Telefonnummer direkt in der Telefonanlage abblocken. Schon eine Leistung von dieser Gestalt!

 

Supergau?!

Wenn Sie einen WordPress-Blog betreiben, haben Sie per Default eine große Schwachstelle in Ihrem Root-Ordner liegen. Die Datei heißt xmlrpc.php und kann ohne Aufwand von Botnetzen für DDoS-Attacken mißbraucht werden. Obwohl diese API-Schnittstelle Sicherheitstechnisch den „Super Gau“ oder das „Sicherheitsfiasko“ an sich darstellt, haben die von sicherheitsbedenken befreiten Entwickler von WordPress –wahrscheinlich volltrunken, denn sonst sind die WordPress-Entwickler besser- dies seit der Version 3.5 per Standard aktiviert und daran bis heute nichts geändert.

Sie selbst bekommen das in der Regel zuerst nicht mit und wundern sich aber irgendwann, daß Ihr Account erst sehr langsam ist und sich dann mit einem Sperrbild meldet. Wenn dies bei Ihnen der Fall ist, hosten Sie bei einem etwas weniger sicherheitsbewußten Provider und sollten darüber nachdenken zu uns umzuziehen, denn bei twosteps ist dieser Sicherheitslücke ein Schloß vorgeschoben.

Was kann ich mit der xmlrpc.php anstellen?

Diese Datei ist unter anderem für den Pingback zuständig. Genau mit dieser Funktion kann man aber auch andere Websites in die Knie zwingen oder ausspähen. Dazu wird einfach mit einem Zweizeiler über cURL eine andere URL und ein Port übergegeben (z.b. google.de:22). Die WordPress-Installation geht nun her und versucht auf dieser Adresse und Portnummer einen Pingback zu hinterlassen. Auf diese Art wird mit Ihrer WordPress-Installation auf anderen Servern nach offenen oder ungeschützten Ports gesucht.

Ganz böse wird es, wenn man die PingBacks dazu verwendet, eine Website zu belasten. Stellen Sie sich einfach vor, ein BotNet aus 1 Mio Rechnern schickt an 200.000 WordPress-Installationen eine Anfrage auf domain.tld:80. Der Server auf dem die Domain läuft, versucht jede einzelne dieser Anfragen (1 Mio * 200.000 Anfragen pro Durchgang) zu beantworten und wird hoffnungslos überlastet. Das nennt man dann korrekt eine billige aber sehr erfolgreiche DDoS-Attacke.

 

 

 

 

WordPress zeigt wie es geht….

Kein Programm ist vor Fehlern geschützt. Logisch. Dazu sind die Programme viel zu komplex und groß.

Wie aber geht man sinnvoll mit Fehlern um?

WordPress zeigte heute innerhalb von vier Tagen das dritte mal, wie man verantwortungsvoll mit Fehlern umgeht: Man fixt sie einfach und behelligt seine User nicht damit. Aufgrund der Sicherheitswarnung durch Sucuri hat WordPress heute Nacht ein weiteres Sicherheitsupdate nachgeschoben und automatisch installiert. Dieses Verhalten kann man aus Sicht eines Providers nur als Vorbildlich bezeichnen. Vielleicht liest ja mal einer der Joomla-Gurus mit und nimmt dies als kleine Anregung mit 🙂

Neuer Anleitungs-Blog

Ab heute versuchen wir, unsere Kunden mit kleinen Anleitungs-Videos auf http://video.twosteps.net zu unterhalten….

Die twosteps GmbH nimmt Spam ernst und reagiert auf Ihre Beschwerden.

Immer wieder beschweren sich unsere Kunden über Spam, der im eigenen Postfach landet. Wir reichen daraufhin die anonymisierte Beschwerde an unsere Kollegen weiter und bauen darauf, das sich unser Mitbewerber seiner Verantwortung bewußt ist und entsprechend reagiert.

 

Nun gibt es zum einen Provider, die dies vorbildlich tun – in Deutschland ist dies die Mehrzahl – zum anderen gibt es aber auch Firmen, die entweder kein funktionierendes Abuse-Team haben (an deren Spitze steht unangefochten OVH ovh.de) oder Firmen, die die Abuse-Meldungen einfach löschen (wie gestern Plusserver plusserver.de).

 

An OVH haben wir uns hier langsam gewöhnt. Die Betroffene IP wandert nach der – sinnlosen Beschwerde – in die Blacklist, und gut ist es. Ist halt eine französische Firma, da ticken die Uhren anders.

 

Böse wird es aber, wenn der Spammer bei einem deutschen Kollegen hostet und anfängt, auch unsere Systemaccounts (Billing@, Abuse@, Support@, Hostmaster@) voll zu spammen (und das gleich mehrfach!). Wenn dann der Herr Kollege die Abuse-Beschwerde einfach löscht, dann ist das unfein, unkollegial und unprofessionell.

Ihre Nachricht

An: abuse-other@plusserver.de

Betreff: SPAM: erneuter Spam von 85.25.138.92

Gesendet: Freitag, 16. Mai 2014 20:15:10 (UTC+01:00) Amsterdam, Berlin, Bern, Rom, Stockholm, Wien  wurde am Sonntag, 18. Mai 2014 13:57:39 (UTC+01:00) Amsterdam, Berlin, Bern, Rom, Stockholm, Wien ungelesen gelöscht.

Wir sind gespannt, was der Kollege zu diesem Artikel sagt. Sein Statement  if any wird hier natürlich veröffentlicht.

Nachsatz: Der Kollege wurde von uns natürlich auch mehrfach via Spamcop über diesen Spammer informiert…

 

Sprachlos.

Das hier kam heute über unser Kontaktformular herein (Name, eMail-Adresse und Telefonnummer ausgeblendet).

Callback from m*********  18:00 san****@hotmail.com 0157********
folgende vetrag wolle ich abschlissen
ich kündige folgende webpage 20140*********
danke
m*********

 

Es scheint wirklich schwer zu sein, zumindest ein Grundmaß an Rechtschreibung anzuwenden. Ist da ein Link zu Duden verschwendete Zeit?

 

Joomla Sicherheitsupdates

Das Joomla-Entwicklerteam hat ein Sicherheitsupdate für die beiden aktuell unterstützten Versionszweige des Open-Source-CMS veröffentlicht. Joomla 2.5.19 und Joomla 3.2.3 sollen kürzlich entdeckte Schwachstellen des Content Management Systems stopfen.

Mit Veröffentlichung von Joomla 2.5.19 will das Joomla-Entwicklerteam zwei Schwachstellen in Joomlas Versionszweig 2.5.x mit Langzeitunterstützung (LTS) beheben. Auch für die aktuelle STS-Version 3.2.x wurde ein Update veröffentlicht. Joomla 3.2.3 behebt über 45 Fehler und stopft 29 Sicherheitslücken, die z.B. SQL-Injection oder unautorisierte Logins ermöglichen.

Die Updates lassen sich über die in Joomla integrierte Update-Funktion im Administrationsbereich einspielen. Alternativ stehen auf der Projekt-Website Patch-Dateien für verschiedene Joomla-Versionen der Reihe 2.5.x und 3.2.x zum Download bereit.

Kunden die immer noch die nicht mehr unterstützten Joomla-Versionen kleiner 2.5 einsetzen sollten diese umgehend auf aktuelle Versionen updaten, da für diese Fehleransammlungen keine Updates mehr vorliegen.

Die Flickschuster von Adobe haben schon wieder zugeschlagen …

Adobe warnt zum zweiten Mal in diesem Monat vor einer kritischen Lücke im Flash Player. Anwender sollten schnellstmöglich updaten, denn die Lücke wird schon aktiv für Angriffe ausgenutzt.

Adobe warnt schon wieder vor einer sehr kritischen Lücke im Flash Player, die bereits für Angriffe ausgenutzt wird. Angreifer können die Sicherheitslücke missbrauchen, um beliebigen Schadcode auf den Rechnern ihrer Opfer auszuführen. Die Firma hat einen Notfallpatch veröffentlicht und empfiehlt allen Nutzern, das Update so schnell wie möglich einzuspielen. Von der Lücke betroffen sind die Flash-Versionen für Windows, Mac OS X und Linux.

Wie immer an dieser Stelle empfehlen wir, Flash einfach zu deinstallieren. Websites mit Flash sind unsinnig und sollten analog zu den Webdesignern, die diesen Mist immer noch empfehlen großräumig gemieden werden.

Schon wieder hunderttausende Kundendaten durch xt:Commerce-Lücke geklaut

Wie nicht anders zu erwarten ist eine weitere kritische Sicherheitslücke in xt:Commerce 3 und einigen Abkömmlingen aufgetaucht. Die Sicherheitslücke wird derzeit aktiv ausgenutzt, um die Namen, Mail-Adressen und Passwort-Hashes von Kunden in Online-Shops zu entwenden. Betroffen sind bereits über 350.000 Kunden vor allem aus Deutschland, Österreich und der Schweiz.

Anfällig ist offenbar die Shop-Software xt:Commerce 3, commerce:SEO Version 1 und Modified vor Version 1.05 SP1; die Varianten xt:Commerce 4, Gambio und aktuelle Versionen von commerce:SEO sowie Modified sind nicht anfällig.

Bei der Lücke handelt es sich im eine SQL-Injection-Schwachstelle in der Sofortkauf-Funktion, über die sich Angreifer Zugriff auf quasi beliebige Datenbank-Inhalte verschaffen können. Aufgedeckt wurde das Problem von den Entwicklern von commerce:SEO.

xt:Commerce 3 wird nicht mehr gepflegt, aber trotzdem noch von vielen Shops eingesetzt. Bereits bei der erst vor einem Monat gefundenen kritischen Sicherheitslücke signalisierte der Hersteller in unverantwortlicher Ignoranz, dass es kein offizielles Update zur Behebung des Fehlers geben wird. Dies stellt einen weiteren triftigen Grund dar, nicht mit xt:Commerce zu arbeiten.

Commerce:SEO stellt ein Fix bereit, der auch xt:Commerce 3 und xtcModified 1.05 abdichten soll. Wer jedoch immer noch xt:Commerce3 einsetzt, sollte dringend auf eine Shop-Software umsteigen, die noch gepflegt und mit Sicherheits-Updates des Herstellers versehen wird. Alles andere ist mittlerweile als unverantwortlicher Umgang mit den anvertrauten Daten der Kunden anzusehen..

Nachtrag: Damit es den ‚Entwicklern‘ von xt:Commerce die Schamröte ins Gesicht treibt:
Die Entwickler von modified haben einen Fix für alte modified-Shops bereitgestellt, der die sicherheitslücke durch den einfachen Austausch einer einzigen Datei zuverlässig fixt. http://www.modified-shop.org/forum/index.php?topic=28894

Liebe Möchtegern-Entwickler von xt:Commerce. SO geht man mit seiner Verantwortung als Entwickler um.

←Older