Sg. Damen und Herren, wir dürfen auf diesem Wege die Warnung von cert.at weitergeben, sie betrifft alle WoredPress-Installationen bis einschließlich Version 4.2.1 mit dem "Genericons icons font package".

Details entnehmen Sie bitte der folgenden Warnung:

-----Original Message----- Sent: Thursday, May 07, 2015 2:20 PM To: warning@lists.cert.at Subject: [Warning] Kritische Sicherheitslücke in WordPress

7. Mai 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten WordPress Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Wie gestern (06. Mai) bekannt wurde, gibt es eine Sicherheitslücke im "Genericons icon font package" von WordPress, welches in vielen populären Themes und Erweiterungen, darunter das Default-Theme von Wordpress, eingesetzt wird.

Am Abend wurde dann auch noch ein Patch für dieses Problem veröffentlicht.

Auswirkungen

Angreifer können durch diese Lücke, indem sie einen Benutzer dazu bringen einen speziell präparierten Link zu öffnen, beliebigen Code im Kontext des Webbrowsers des Benutzers ausführen. Dies kann unter Umständen zur vollständigen Kompromitierung der Wordpress-Instanz führen.

Da laut Sucuri bereits vor Veröffentlichung der Schwachstelle erste Angriffsversuche zu sehen waren, ist davon auszugehen, dass die Lücke bereits aktiv ausgenutzt wird.

Betroffene Systeme

Alle WordPress-Installationen bis inkl. Version 4.2.1, wenn eines der installierten Themes / Plugins das "Genericons icon font package" nutzt. Das betroffene Theme / Plugin muss dazu nicht aktiviert sein, das Vorhandensein ist ausreichend.

Weitere Details sind in der [1]Meldung von Sucuri verfügbar.

Abhilfe

 * Upgrade auf die entsprechend angepasste Version 4.2.2, Download zB
   via [2]WordPress.org oder über die eingebaute Update-Funktionalität
   ("Dashboard -> Updates").
 * Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, ist
   das Löschen der verantwortlichen Datei,
   yourdomain.com/wp-content/themes/twentyfifteen/genericons/example.h
   tml beziehungsweise
   yourdomain.com/wp-content/plugins/jetpack/_inc/genericons/genericon
   s/example.html, ein möglicher Fix

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. __________________________________________________________________

Informationsquelle(n): Blogeintrag von Sucuri (englisch) [1]https://blog.sucuri.net/2015/05/jetpack-and-twentyfifteen-vulnerable -to-dom-based-xss.html WordPress 4.2.2 Security Release (englisch) [2]https://wordpress.org/news/2015/05/wordpress-4-2-2/

--

best, support@kapper.net