Neuer Angriff auf Server mit SSLv2

Mit der sogenannten DROWN Attacke kann die Verschlüsselung auf Webservern welche noch SSL 2.0 aktiviert haben ausgehebelt werden.

Dabei werden die Schlüssel für die Verschlüsselung vom Server geladen – mit diesen Schlüsseln kann dann die Kommunikation zwischen Client uns Server entschlüsselt werden.

Grundsätzlich sollte nur noch TLS Verschlüsselung zum Einsatz kommen da auch SSLv3 als unsicher gilt.

XSS Sicherheitslücke betrifft viele WordPress Plugins

Viele WordPress Plugins sind mit Cross Site Scripting (XSS) angreifbar weil im Code add_query_arg() und remove_query_arg() Funktionen falsch verwendet wurden. Diese Funktionen sind in WordPress Erweiterungen oft von Entwicklern verwendet worden um Query Strings zu bearbeiten und hinzuzufügen.

Da die offizielle WordPress Dokumentation (Codex) diese Funktionen nicht ausreichend klar dokumentiert hat wurden sie von Entwicklern oft in einer unseren Weise implementiert. Die Entwickler sind davon ausgegangen dass die Benutzereingabe normalisiert wird, was aber nicht der Fall ist – dies führte dann zu der Angreifbarkeit für XSS.

Eine (unvollständige) Liste von betroffenen Plugins:

Wie immer sollten die entsprechenden Plugins so bald wie möglich aktualisiert werden.

Wenn Sie sicher sein wollen dass Ihre WordPress Installation immer aktuell ist und Sicherheitslücken so bald wie möglich geschlossen werden sollten Sie ein WordPress Service Abonnement in Betracht ziehen.

Bei Fragen können Sie uns gerne kontaktieren.