WordPress 3.5.1: Bugfix gegen Pingback-Lücke

Das gestern veröffentlichte Update auf WordPress 3.51 schließt die Sicherheitslücke in der Pingback-API.

Damit behebt das WordPress-Team eine Lücke, die über Jahre unterschätzt wurde und vor einem Monat durch einen Demo-Exploit mit minimalen Kenntnissen einsetzbar war.

Insgesamt werden in WordPress 3.5.1 37 Mängel behoben. Insbesondere wegen der Pingback-Lücke und der damit bestehenden Gefahr sollte das Update so bald wie möglich eingespielt werden. Generell sollte WordPress immer aktuell gehalten werden, da die Ausnutzung von Sicherheitslücken aufgrund der hohen Verbreitung sehr lohnenswert ist. Darüber hinaus wird seitens WordPress nur für die jeweils aktuellste Version Support angeboten.

Wir unterstützen Sie gerne beim Update oder der Wartung Ihrer WordPress-Seite. Sprechen Sie uns einfach an.

Pingback in WordPress ermöglicht Portscan und DDoS

Bereits seit 6 Jahren ist bekannt, dass sich die Pingback-Funktion in WordPress’ XML-RPC-API nutzen lässt, um den Hostserver durch mehrfache Zugriffe auf eine besonders große Datei lahmzulegen. Auch ein DDoS-Angriff ist möglich, wenn hunderte oder tausende WordPress-Blogs zum Pingback auf eine Ziel-Url genutzt werden würden.

Außerdem können Pingbacks verwendet werden, um als Portscanner auf dem lokalen oder entfernten System nach verfügbaren Diensten zu suchen.

Der entsprechende Bug-Eintrag wurde über Jahre nicht weiter verfolgt, da man das Problem als eher theoretisch bzw. allgemeine Gefahr angesehen hat. Seit einigen Tagen ist der Bug-Eintrag allerdings wieder geöffnet. Grund ist ein Script, dass diese Exploits automatisiert und so die Lücke ernsthaft nutzbar macht. Damit wurde aus einer theoretischen Möglichkeit ein realer Angriffsvektor.

Bedenkt man die millionenhafte Verbreitung von WordPress (bereits im August 2011 nutzen 22% aller neuen Domains in den USA WordPress ebenso wie im April 2012 knapp die Hälfte aller Top 100 Blogs der USA), ist die mögliche Angriffsmacht eines “WordPress-Botnetzes” nicht zu vernachlässigen.

Aktuell ist arbeitet das WordPress-Team an einem Patch, dessen Erscheinungstermin aber noch nicht feststeht. Hinzu kommt die hohe Zahl nicht-aktueller aktiver WordPress-Seiten, die selbst nach Erscheinen eines Patches noch für Angriffe benutzt werden können.

Wer sein eigenes WordPress-Blog vor Missbrauch schützen will, hat zur Zeit nur die Möglichkeit, die Datei xmlrpc.php umzubennen oder zu löschen bzw. die Funktion pingback_ping in der Datei /wp-includes/class-wp-xmlrpc-server.php auszukommentieren bzw. zu löschen. Die Deaktivierung von Pingbacks und Trackbacks reicht offenbar nicht aus.

Allerdings führt dies nur dazu, dass das eigene Blog nicht für Portscan oder DDoS-Angriffe genutzt werden kann. Ein Schutz des eigenen Systems vor Angriffen von außen wird hierdurch selbstverständlich nicht erreicht.

BEAST: SSL 3.0/TLS 1.0 am Ende?

Am Wochenende wollen die Sicherheitsexperten Thai Duong und Juliano Rizzo auf der Konferenz ekoparty in Argentinien einen erfolgreichen Angriff auf die verbreitetste Variante der SSL/TLS-Verschlüsselung vorstellen. Sie werden ihre Javascript-Anwendung BEAST (Browser Exploit Against SSL/TLS) vorstellen. Diese soll aktuell in der Lage sein, innerhalb von 10 Minuten ein PayPal-Cookie zu entschlüsseln.

Kurz nach dem Zertifikats-Desaster von DigiNotar bedroht der Angriff von Doung und Rizzo abermals die SSL-Verschlüsselung. Ihre Erkenntnisse bringen die am häufigsten eingesetzte Version SSL 3.0/TLS 1.0 ins Wanken. Zwar wurden bereits zwei weitere Versionen (2006 TLS 1.1 und 2008 TLS 1.2) veröffentlicht, allerdings herrscht eine Art Angebot-Nachfrage-Problem, das die Umsetzung verhindert. Einerseits fehlt in OpenSSL die Unterstützung für TLS 1.1 und 1.2 und damit die Implementierung für Linux-Server, auf der anderen Seite unterstützen auch die meisten Browser bisher nur SSL 3.0/TLS 1.0.

Dies könnte sich nun ändern. Durch den erfolgreichen Angriff steht praktisch die gesamte SSL-Verschlüsselung auf dem Spielstand. OpenSSL und die Browserhersteller werden sich zeitnah um die Unterstützung der aktuellen TLS-Protokolle bemühen müssen, falls nicht doch ein Patch gegen die Lücke gefunden wird. Dies könnte sich allerdings als steiniger Weg erweisen. Laut Duong und Rizzo standen sie seit Mai in engem Kontakt mit den Browser-Herstellern und Anbietern von SSL-Implementierungen. Allerdings sorgte jeder vorgeschlagene Fix für Probleme bei zumindest einem Teil der SSL-Anwendungen.

Internetnutzern bleibt nur, auf eine schnelle Behebung der Probleme zu hoffen. Da BEAST auf Javascript aufsetzt, können Browsererweiterungen wie NoScript oder Notscript das Risiko auf fremden Seiten mindern. Einen vollständigen Schutz bieten sie allerdings nicht. Sollte es Kriminellen gelingen, den Code in eine Webseite einzuschleusen, die der Nutzer als vertrauenswürdig ansieht, wäre auch dieser Schutz ausgehebelt. Auch bei einem “Man-in-the-Middle”-Angriff wäre dies wirkungslos.

Weitere Infos / Quelle: The Register