Näyttäminen Uutiset - ICT-Palvelut

29 04 2015

Wordpress-päivitys korjaa kriittisen XSS-haavoittuvuuden

Tunnisteet: haavoittuvuudet, wordpress, kriittinen, xss

WordPress-sisällönhallintajärjestelmän useista versioista on löytynyt kriittinen Cross Site Scripting (XSS) -haavoittuvuus suomalaisen tietoturvayhtiö Klikki Oy:n toimesta.

Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa mielivaltaisia komentoja ylläpitäjän oikeuksin ja tätä kautta esimerkiksi vaihtaa ylläpitäjän salasanaa. Haavoittuvuuden hyväksikäyttö ei vaadi kirjautumista, ja sen mahdollistava kommentointiominaisuus on oletuksena käytössä WordPress-ohjelmiston perusasennuksessa.

Haavoittuvuus liittyy WordPress-asennuksen sivujen sekä viestien kommentointimahdollisuuteen ja sen toimintaperiaate on saman kaltainen kuin haavoittuvuustiedotteessa 126/2014 (Kriittinen haavoittuvuus WordPress-sisällönhallintajärjestelmässä) kuvattu haavoittuvuus. Haavoittuvuuden hyväksikäyttö vaatii yli 64 kilotavun mittaisen JavaScript-ohjelmakoodin syöttämisen WordPress-asennuksen kommentointikenttään.

Mikäli WordPress-asennuksen ylläpitäjä tarkastelee hyökkääjän syöttämää kommenttia sivustolla, sen sisällä oleva ohjelmakoodi suoritetaan. Haitallisen ohjelmakoodin suorittaminen ylläpitäjän oikeuksilla voi johtaa järjestelmän halutuunottoon hyökkääjän toimesta.

Toisin kuin haavoittuvuustiedotteessa 126/2014 kuvatussa haavoittuvuudessa, nyt julkaistua haavoittuvuutta ei voi hyödyntää ylläpitäjän Dashboard-näkymässä. Tämän johdosta haavoittuvuuden hyväksikäyttö on vaikeampaa, ja hyökkääjän tulee onnistua ohittamaan ylläpitäjän suorittama viestien moderointi esimerkiksi julkaisemalla ensiksi harmiton kommentti jonka ylläpitäjä hyväksyy. WordPress-asennuksen oletusasetuksilla vain käyttäjän ensimmäinen kommentti annetaan ylläpitäjän tarkastettavaksi.

Ylläpitäjien tulee päivittää haavoittuvat WordPress-asennukset korjattuihin versioihin mahdollisimman pikaisesti. Mikäli vanhemmalle versiohaaralle ei ole päivitystä saatavilla, voi hyväksikäyttömahdollisuutta rajoittaa poistamalla käyttäjiltä mahdollisuus lisätä sivuille kommentteja.

Haavoittuvuuden löysi suomalaisen tietoturvayhtiö Klikki Oy:n Jouko Pynnönen.

Palvelimet ja palvelinsovellukset
Työasemat ja loppukäyttäjäsovellukset
Verkon aktiivilaitteet
Matkaviestinjärjestelmät
Sulautetut järjestelmät
Muut

Kohde

Palvelimet ja palvelinsovellukset

Lisätietoa +

Hyökkäystapa

Ilman kirjautumista
Etäkäyttö
Ilman käyttäjän toimia

Lisätietoja hyökkäystavasta +

Hyväksikäyttö

Komentojen mielivaltainen suorittaminen
Käyttövaltuuksien laajentaminen
Tietojen muokkaaminen
Luottamuksellisen tiedon hankkiminen
Palvelunestohyökkäys
Suojauksen ohittaminen

Lisätietoja hyväksikäytöstä +

Ratkaisu

Korjaava ohjelmistopäivitys
Ongelman rajoittaminen

Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Ainakin seuraavat versiot on todettu haavoittuvuksi käyttäen MySQL versiota 5.1.53 ja 5.5.41:

WordPress 4.2
WordPress 4.1.2
WordPress 4.1.1
WordPress 3.9.3

Ratkaisu- ja rajoitusmahdollisuudet:

Suositeltu ratkaisukeino on päivittää haavoittuva ohjelmisto valmistajan ohjeen mukaisesti versioon 4.2.1

Jos päivittäminen ei ole mahdollista, hyväksikäyttömahdollisuutta voi rajoittaa poistamalla käyttäjiltä mahdollisuus lisätä sivuille kommentteja.

Lisätietoa:

Päivityshistoria

28.04.2015 klo 10:16
Julkaistu

Lue lisää

22 04 2015

Wordpress-päivitys korjaa kriittisiä haavoittuvuuksia

Tunnisteet: haavoittuvuudet, wordpress, kriittinen

Suosittuun Wordpress-sisällönhallintaohjelmistoon on julkaistu korjauspäivitys, joka korjaa useita kriittisiä haavoittuvuuksia.

Korjatut haavoittuvuudet ovat muun muassa Cross Site Scripting (XSS) sekä SQL Injection -haavoittuvuuksia. Lisäksi useita Wordpress-lisäosia on päivitetty.