Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

WordPress kampt voor tweede week op rij met ernstig xss-lek

Net als vorige week kampt WordPress met een ernstig cross site scripting-lek, waarmee een aanvaller de controle over een WordPress-installatie kan overnemen. Er is exploitcode verschenen die kan worden misbruikt. WordPress heeft in allerijl een beveiligingsupdate uitgebracht.

In feite gaat het om twee beveiligingsproblemen, maar slechts een van de twee treft WordPress 4.2, de nieuwste versie van de populaire cms-tool; de andere werkt alleen op oudere versies. De bugs bevinden zich in de commentsectie van WordPress; een aanvaller kan zijn eigen html-code achterlaten in een reactie, waarna die wordt geladen als andere gebruikers op de pagina komen. Dat ontdekte een Finse beveiligingsonderzoeker.

Op die manier kan een aanvaller bijvoorbeeld code injecteren die cookies van gebruikers steelt. Ook kan code worden toegevoegd die, wanneer de reactie wordt bekeken door een gebruiker die de beheerder van de WordPres-installatie is, bijvoorbeeld het wachtwoord van de beheerder wijzigt. Vervolgens zou een aanvaller de WordPress-installatie over kunnen nemen.

De Finse beveiligingsonderzoeker die het probleem ontdekte heeft een proof of concept gepubliceerd, die door kwaadwillenden zou kunnen worden misbruikt. Ook zijn er volgens hem aanwijzingen dat de bug al wordt misbruikt. WordPress heeft daarom maandag in allerijl een beveiligingsupdate uitgebracht.

Vorige week bracht WordPress al een update uit om een ander xss-lek te patchen. Met WordPress 4.2 werden ook drie kleinere beveiligingsproblemen opgelost.

Door Joost Schellevis

Redacteur

28-04-2015 • 08:03

73 Linkedin Google+

Reacties (73)

Wijzig sortering
Zie http://en.wikipedia.org/wiki/Bystander_effect

"Iemand anders zal het wel controleren voor me"

Kunnen en doen is iets totaal anders..

Ik ben 'fan' van open source omdat het toelaat bepaalde beperkingen zelf op te lossen, of missende features zelf toe te voegen, maar ik zal nooit voor 'open source' gaan puur omdat het 'veiliger' moet zijn omdat ikzelf de code kan controleren: ikzelf (en grootste deel van de wereld) heeft hiervoor de tijd/kennis niet voor.
Natuurlijk niet. Ik beheer zelf ook een eigen maatwerk CMS, daarop komen ook hackers langs die de boel geautomatiseerd scannen op gebruikelijke beveiligingslekken. Daarbij heb je ook nog de kans dat je het zelf niet eens door hebt als er een probleem is, want niet elke hacker gaat jou informeren als de hack gelukt is.

Met open source heb je zeker minder kans op beveiligingslekken, maar als je er dan één hebt weet de hele wereld dat en moet je snel updaten. Alleen als je dat niet doet blijf je erg kwetsbaar. Daarbij zijn er vaak nog zelfgeschreven of weinig gebruikte modules, die kunnen ook problemen veroorzaken.

Een goede beveiliging omvat ook veel meer dan de keuze tussen open of closed source.
Niet waar. Je website kan bijv misbruikt worden om spam te versturen. Je merkt er niets van en niemand zal het lek voor jou vinden.
Mocht dit bij wordpress/joomla/etc gebeuren, dan is de kans dat het opgemerkt wordt vele malen groter, omdat meer websites getroffen worden door het probleem. Daarna komt er een oplossing voor het lek, waardoor jouw website met een beetje geluk alleen kwetsbaar is geweest (maar nog niet misbruikt is).
Ook kan een zelfgeschreven cms interessant zijn als de website veel bezoekers trekt. Men kan dan niet putten uit kwetsbaarheden in joomla/wordpress, waardoor je scriptkiddies tegenhoudt, maar voor mensen die kennis van zaken hebben is het waarschijnlijk een fluitje van een cent om jouw website te kraken
Ik snap je redenering, maar die gaat over het algemeen niet op - het "low hanging fruit" van beveilingslekken is over het algemeen geautomatiseerd te vinden. Het is dus zeer waarschijnlijk dat ook jouw "eigen kleine website" op een gegeven moment met een vulnerability scanner te maken heeft - en op dat moment ben je toch echt gewoon de pisang.

De dader hoeft niet eens te weten wat voor site het is, waar het over gaat, of wie die site draait.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True