Sicherheitslücke in wpDiscuz (WordPress-Plugin)

Der Sicherheitspluginhersteller Wordfence warnt vor einer Lücke in einem beliebten WordPress-Plugin namens wpDiscuz. Betroffen sind Versionen von 7.0.0 bis 7.0.4. Mit 7.0.5 steht eine korrigierte Version bereit, die die als hochkritisch eingestufte Lücke schließt, heißt es.

Gemäß der CVSS-Systematik wird die Schwere des Problems mit Score 10.0 (CRITICAL) eingestuft. Die CVSS Vector wird mit CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H beschrieben. Mehr zur Systematik von CVSS (Common Vulnerability Scoring System) findet sich auf der offiziellen Site der Organisation FIRST. Im genannten Fall bedeutet dies:

  • Der Angriffsvektor ist Network (erfolgt also aus dem Netz; „AV:N“)
  • Die Komplexität des Angriffs ist niedrig (low, „AV:L“)
  • Man braucht als Angreifer keine Privilegien auf dem angegriffenen System, d.h. jeder kann angreifen (Privilege required; „PR:N“)
  • Die Interaktion des rechtmäßigen Nutzers ist für einen erfolgreichen Angriff nicht erforderlich (User Interaction; „UI:N“).
  • S steht für Scope und gibt wieder, wie tiefgreifend der erfolgreiche Angriff sein kann und verbundene Systeme ändern kann („S:C“, wobei C für „change“ steht, andere Werteoption des Schlüssels ist „U“ und würde bedeutet, dass keine weiteren Systeme in Mitleidenschaft gezogen werden können).
  • Die Vertraulichkeit wurde als „high“ eingestuft, da Einzelheiten des Exploits (der Entdeckung des Problems) zunächst nicht öffentlich werden sollten („C:H“).
  • Die Integrität des angegriffenen Systems wird beschädigt, und zwar schwer; die Gefahr ist hoch, also wird diese Kategorie als „high“ („I:H“) eingestuft.
  • Es kann sein, dass das System nach erfolgtem Angriff nicht mehr verfügbar ist, engl. Availibility. Auch hier wurde als Einstufung „high“ vergeben („A:H“).
„Sicherheitslücke in wpDiscuz (WordPress-Plugin)“ weiterlesen

goneo Webserver: Plus 50 Prozent Performance nach Update von Hard- und Software

Update goneo Webserver 50 Prozent schneller jetzt

Nach einem umfangreichen Hard- und Softwareupdate haben sich Leistungsindikatoren wie Time to first Byte massiv verbessert. Die monatlichen Kosten bleiben für den Kunden stabil.

Wer eine von goneo betreute virtuelle Maschine bucht oder bereits betreibt, kann mit einem Performancesprung rechnen. Seit Juli 2020 kommt neue Hostsystem-Hardware mit 100 Prozent SSD zum Einsatz. Zudem hat goneo das Virtualisierungssystem gewechselt. Jetzt steht nicht nur die Version 8 der Datenbanktechnologie MySQL zur Verfügung, die Server liefern Webseiten nun mit http/2 aus.

„goneo Webserver: Plus 50 Prozent Performance nach Update von Hard- und Software“ weiterlesen

WordPress-Plugin „Google Site Kit“ hat ein kritisches Problem

Wie verschiedene Medien unter Berufung auf Wordfence (hier der Blogbeitrag dazu) berichten, ist eine kritische Sicherheitslücke im WordPress Plugin von Google entdeckt worden. U.a. berichtet t3n darüber.

https://t3n.de/news/kritische-site-google-kit-1280094/

Originalbeitrag bei Wordfence

Mittlerweile gibt es einen Fix für das Plugin. Ohne Fix ist ein Angreifer eventuell in der Lage, Zugriff auf die Google Search Console nehmen zu können. Dies ist eine zentrale Seite, die Google speziell für Webseitenbetreiber eingerichtet hat.

Version 1.8.0 hat das Sicherheitsproblem nicht mehr.

Drupal warnt vor Sicherheitslücke in „SVG Image“-Modul

Die Drupal Erweiterung „SVG Image“ (siehe https://www.drupal.org/sa-contrib-2020-008) ist anfällig für Cross-Site-Scripting-Attacken. Davor warnt das Drupal-Projekt auf seiner Website: https://www.drupal.org/sa-contrib-2020-008

Mit einem eben erschienenen Update wird das Problem beseitigt, heißt es. Kritisch ist, wie Heise auch berichtet, dass mit diesem Modul Useruploads möglich sind, wobei keine ausreichende Code-Prüfung stattfindet, so dass Scriptcode nach dem Uplaod eventuell zur Ausführung gebracht werden kann.

Es handelt sich um eine recht beliebte Erweiterung, mit der man Bilder und Grafiken im SVG.-Format einbinden kann. Drupal berichtet von 21.629 Sites, die dieses Modul einsetzen. Fast 250.000 Downloads hat man gemessen.

Mögliche Angriffe auf WordPress-Plugins „Async JavaScript“, „Modern Events Calendar Lite“, „10Web Map Builder for Google Maps“ und “ Flexible Checkout Fields for WooCommerce“

Wordfence, Herausgeber von Sicherheitsplugins und Anbieter entsprechender Dienste für WordPress warnt vor einigen weiteren möglicherweise verletzbaren Plugins.

Es handelt sich dabei um die folgenden Plugins. Die meisten Pluginautoren haben reagiert und bieten inzwischen Updates an:

  • „Async JavaScript“,
    ➡️ Pluginseite, mehr als 100.000 Installationen
  • „Modern Events Calendar Lite“,
    ➡️ Pluginseite, 40.000 Installationen
  • „10Web Map Builder for Google Maps“ ,
    ➡️ Pluginseite, mehr als 20.000 Installationen
  • “ Flexible Checkout Fields for WooCommerce“,
    ➡️ Pluginseite, mehr als 20.000 Installationen
„Mögliche Angriffe auf WordPress-Plugins „Async JavaScript“, „Modern Events Calendar Lite“, „10Web Map Builder for Google Maps“ und “ Flexible Checkout Fields for WooCommerce““ weiterlesen

Plugins bringen Risiken für WordPress-Installionen

Wordpress Code is poetry Lanyard

WordPress ist mit einem Marktanteil von mittlerweile über 35 Prozent ein überaus lohnendes Ziel für Angreifer. Damit lohnt es sich, nach Lücken zu suchen, Angriffsszenarien zu entwickeln und zu skalieren: Einmal gefundene Angriffsvektoren kann man auf sehr viele WordPress-Installationen anwenden. Meist geht es darum, die Installation zu hacken, um sie unter Kontrolle zu bekommen.

Typischerweise ergaunern sich die Angreifer so entweder die Admin-Berechtigung oder sie schaffen es, aus der Ferne Code auszuführen, der die WordPress-Installation fernsteuert. Damit kann man dann zum Beispiel Spam versenden, Phishingseiten aufbauen oder Daten abgreifen. Gerne wird auch ein spammiger Redirect auf irgendeine Shopseite ausgelöst.

Wie die Situation aktuell aussieht und wo Ansatzpunkte für besseren Schutz zu finden sind, steht in diesem Blogartikel.

„Plugins bringen Risiken für WordPress-Installionen“ weiterlesen

goneo ist erneut Top20 Provider in Deutschland – laut Hosttest

goneo Hosttest Top 20 Provider Januar 2020

Das unabhängige Vergleichportal Hosttest, in der Tech-Szene bekannt für die Verfügbarkeitsmessungen von Servern, ermittelt aus diversen Kriterien wie Verfügbarkeit, Profilabruf und Bewertungen monatlich einen Score für jeden untersuchten Hostingprovider. Auf Grundlage dieses Scorings stellt Hosttest eine monatlich aktualisierte Top20-Liste zusammen.

Auch bei den Verfügbarkeitsmessungen (um die 3.000 einzelne Tests in 30 Tagen) konnte goneo erneut punkten. Die getesteten Server waren zu 100 Prozent erreichbar.

Ergebnis von ca. 3.000 Einzeltests (Aufruf einer URL alle 15 Minuten mit positiver Server-Response. Der Test von hosttest.de gilt als einer der umfangreichst und aussagekräftigsten im deutschsprachigen Raum. Zum Profil von goneo: https://www.hosttest.de/webhoster/goneo

Die sogenannte Verfügbarkeit ist ein Kriterium, das die Zuverlässigkeit eines Dienstes widerspigelt. Idealerweise sind Server durchgängig an sieben Tagen in der Woche durchgehend für 24 Stunden erreichbar. Grundsätzlich gibt es die Möglichkeit, dass Server ausfallen, etwa durch Überlastung (zu viele Zugriffe) oder durch Absturz des Betriebssystem oder Hardwarekomponenten wie I/O-Controller, HD, SSD- Speicher, RAM-Defekte oder Stromausfall. Diese Risiken lassen sich durch gezieltes Qualitätsmanagement minimieren, u.a. durch klare Software-Release-Policies, proaktive Serverwartungen, die bei goneo in Zyklen organisiert sind oder durch Redundanz wie dem Einsatz von RAID-Spiegelungen. Zusätzlich fährt goneo tägliche Backups, um im Falle von Havarien Destaster-Recoveries zu ermöglichen.

Magento: Adobe rät zum Update

Auch für diverse Versionen der E-Commerce-Software Magento sind Updates verfügbar. Damit sollen, so Adobe (mittlerweile im Besitz der Magento-Software) kritische Lücken geschlossen werden. Unter Magento gibt es mittlerweile Versionen, die weiter unter Open-Source-Lizenzen herausgegeben werden, aber auch proproetäre Closed-Source-Versionen.

Als Angriffsvektoren werden bei Adobe im Security Bulletin Deserialisierung, Cross-Site-Scripting, SQL-Injection und Path-Traversal genannt.

Betroffen sind die Open-Source-Versionen 2.3.3 (und früher), 2.2.10 (und früher), die Community Edition 1.9.4.3 sowie sowie auch die proprietären Releases Magento Commerce mit gleichen Versionsnummern (2.3.3, 2.2.10) und die Enterprise Edition 1.14.4.3. Für die genannten Releases gibt es Updates, wobei dafür die Releasenummern in der letzten Stelle jeweils um 1 weiter gezählt wurden.

Sicherheitsprobleme mit WordPress-Plugins „DatabaseReset“, „WP Time Capsule“, „Infinite WP“

Verschiedene Quellen berichen aktuell von mindestens drei Sicherheistlücken in drei verschiedenen, oft eingesetzten WordPress-Plugins: DatabaseReset, WP Time Capsule und Infinite WP. Wer diese verwendet, sollte schnell updaten.

„Sicherheitsprobleme mit WordPress-Plugins „DatabaseReset“, „WP Time Capsule“, „Infinite WP““ weiterlesen