Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

WordPress kampt voor tweede week op rij met ernstig xss-lek

Net als vorige week kampt WordPress met een ernstig cross site scripting-lek, waarmee een aanvaller de controle over een WordPress-installatie kan overnemen. Er is exploitcode verschenen die kan worden misbruikt. WordPress heeft in allerijl een beveiligingsupdate uitgebracht.

In feite gaat het om twee beveiligingsproblemen, maar slechts een van de twee treft WordPress 4.2, de nieuwste versie van de populaire cms-tool; de andere werkt alleen op oudere versies. De bugs bevinden zich in de commentsectie van WordPress; een aanvaller kan zijn eigen html-code achterlaten in een reactie, waarna die wordt geladen als andere gebruikers op de pagina komen. Dat ontdekte een Finse beveiligingsonderzoeker.

Op die manier kan een aanvaller bijvoorbeeld code injecteren die cookies van gebruikers steelt. Ook kan code worden toegevoegd die, wanneer de reactie wordt bekeken door een gebruiker die de beheerder van de WordPres-installatie is, bijvoorbeeld het wachtwoord van de beheerder wijzigt. Vervolgens zou een aanvaller de WordPress-installatie over kunnen nemen.

De Finse beveiligingsonderzoeker die het probleem ontdekte heeft een proof of concept gepubliceerd, die door kwaadwillenden zou kunnen worden misbruikt. Ook zijn er volgens hem aanwijzingen dat de bug al wordt misbruikt. WordPress heeft daarom maandag in allerijl een beveiligingsupdate uitgebracht.

Vorige week bracht WordPress al een update uit om een ander xss-lek te patchen. Met WordPress 4.2 werden ook drie kleinere beveiligingsproblemen opgelost.

Door Joost Schellevis

Redacteur

28-04-2015 • 08:03

73 Linkedin Google+

Reacties (73)

Wijzig sortering
Dan zit jij waarschijnlijk nog op WordPress 4.1, en minor updates worden niet automatisch geïnstalleerd, maar je zal wel WordPress 4.1.4 hebben ontvangen.
Hey bedankt, Bolt lijkt me een briljant alternatief voor WordPress!
Even voor de leek, over wat voor lek hebben we het? Heb ik het goed dat het over (html)-code gaat die door een "gebruiker" in het comment-veld achtergelaten wordt, en dat dan vervolgens door de server of browser geparsed wordt?
Maar op server niveau heb je software draaien die jou een mail stuurt zodra md5 hashes niet meer kloppen. Dat gaat buiten de scope van de wordpress gebruiker en valt onder de verantwoordelijkheid van de hoster lijkt me. Probleem is natuurlijk dat er ook velen zijn waarbij dit overlapt.
Oh wat een zwaktebod. Zegt wel genoeg. Er gaan een paar tweakers tegen je in en meteen gaan de armpjes over elkaar.

Ik heb al je reacties wel gelezen en daaruit blijkt dat je geen reëel zelfbeeld hebt als het gaat om het werk dat je aflevert.
Wat je wil. Ik heb vele websites die jarenlang zonder update hackvrij draaien als bewijs van het tegendeel.

En ik kan prima omgaan met mensen die tegen me in gaan. Maar dan moeten ze wel met goede argumenten komen. Dat gebeurt niet en dat is waar ik me tegen verzet. Laat die Stranger_NL nou eens met concrete kwetsbaarheden komen, maar dat doet hij niet. Alleen maar vage, niet-security gerelateerde, subjectieve punten.
Hoi Faeron,

Zoals ik al tegen je zei in een vorig security topic ben ik geen hacker/auditor en de niet-vage, wel security-gerelateerde, objectieve punten die ik vond in je systeem _heb_ ik open en eerlijk bij je onder de aandacht gebracht en deze heb je allemaal weerlegd met een verklaring of workaround.

Ik heb _geen_ concrete dingen gevonden in je framework :Y) en dat komt omdat _ik_ ze niet _kan_ vinden omdat ik niet goed genoeg ben daarvoor. Ik ken mijzelf, mijn kwaliteiten en mijn limieten (Cursusje zelfreflectie anyone?). Schilder me niet af als iets wat ik niet ben. :+ Ik neem uitgebreid te tijd om te reageren op iets wat ik interessant vind. Ik verdien geen gekat terug van je.

Hetgeen wat de mensen volgens mij bedoelen die hier tegen je in gaan (en jij ook weer op reageert) is dat een 100% foutloos systeem niet kan bestaan. Jij zegt het te hebben. Ik geloof prima dat je al tientallen jaren systemen hebt die niet zijn gehacked en die je niet hoeft te updaten. Prima toch.

Maar ik zie dat je mijn en andere argumenten met het grootste gemak wegwuift. Ik en anderen verbazen zich daarover omdat ik niet geloof in een 100% waterdicht systeem.

Dat is niet omdat ik je niet wil geloven(!). Ik heb goud en diamanten over voor een feilloos systeem(!). Maar als ik even de lekkages bekijk van het afgelopen jaar op servergebied, PHPgebied, SSL, .... dan is niets off-limits. Ook jouw systeem niet. Zonder een concreet gat aan te wijzen moet ik statistisch concluderen dat ook jouw setup ergens een gat heeft. Je gelooft me niet en dat is prima.

[Reactie gewijzigd door Stranger__NL op 28 april 2015 18:38]

Och gut, wat reageer je weer lekker als de gebeten hond. Ik bekritiseer een systeem dat aan de lopende band lek is, jij vraagt of ik het beter kan doen, ik geef je aan (met bewijs) dat ik dat kan en je komt vervolgens aanzetten met kritiekpunten op zaken anders dan beveiliging en kan geen concrete kwetsbaarheid aantonen. Als ik daar dan mij verweer opgeef ben ik degene die geen zelfreflectie heeft en verwaand bezig is.

Mijn originele punt staat nog steeds: Wordpress gebruiken is onverstandig en niet nodig omdat er prima veilige alternatieven zijn. Dat het prima mogelijk is om een veilig(er) CMS te hebben heb ik aangetoond. Bevalt het je niet, prima, kies dan een ander systeem. Ik heb namelijk ook nooit beweerd dat je per se mijn systeem moet gebruiken of dat mijn systeem 100% perfect is, alleen maar 100x veiliger. Een keuze voor elk ander systeem dat veilig is, is prima, maar neem geen Wordpress. Dan vraag je gewoon om problemen.

[Reactie gewijzigd door Faeron op 28 april 2015 19:44]

Wordpress zelf is nu wel redelijk veilig. Maar ik maak me altijd veel zorgen over plugins en thema's. De API van wordpress speelt een groote rol hierin. Het is makkelijk om een fout te maken.

Aantal voorbeelden:
Prepared statements worden pas recentelijk gebruikt, daarvoor gebruikte iedere plugin concatenation van queries. Wordpress heeft magic quotes opnieuw uitgevonden (e.g. GET en POST query variabelen), sommige functies verwachten variables met gescaped slashes, sommige functies niet. Een deel van de functies geeft escaped entities, een ander deel weer niet. Zelfde verhaal met url encoding. Er kan html ingevoerd worden in comments en posts waarbij javascript eruit gefilterd wordt, er zijn echter enorm veel mogelijkheden om zo'n filter te omzeilen.

Ik zie liever dat er technieken gebruikt worden waarbij je als gebruiker van de API zulk soort fouten niet snel kan maken. Prepared statements, escaping onderdeel van de template taal zoals in handlebars, geen html in comments, etc.

Overigens is het een goed idee om CSP in te stellen op je server, nadeel is dat het onderhoud kost en dat je workarounds moet gebruiken voor de inline javascript van thema's/plugins.
Ik daag je uit om een security bug in mijn framework aan te wijzen.
Gaat wat lastig hè als je er voor kiest om het framework "lekker voor je zelf te houden".
Maar goed, wees stoer en maak het publiek. Ik voorzie wel een lek of twee.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True