1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Content-Management-Systeme: Wordpress…

Denkfehler! Die eigentlichen Gefahr sind Auto-Updater bzw. Installationen via Klick

  1. Thema

Neues Thema Ansicht wechseln


  1. Denkfehler! Die eigentlichen Gefahr sind Auto-Updater bzw. Installationen via Klick

    Autor: Richtig Steller 06.02.17 - 14:17

    ...denn damit Installationen via Klick und Auto-Updater funktionieren muss im Falle von PHP der Worker in der Lage sein den eigenen Programm-Code zu ersetzen bzw. neuen zu speichern.

    Mit anderen Worten: Eine riesige Remote Code Execution Kacke...

    Wir die "Experten" (wie auch der Autor des Golem-Artikels) werfen Werbenetzwerken vor, dass sie die Kontrolle über ihre Netzwerke aus der Hand gegeben haben. D.h. das dort jeder Code einstellen kann, der dann auf Millionen von Seiten zielgerichtet an potentielle Opfer ausgeliefert wird.

    Genau das gleiche passiert bei WordPress und Co: Jeder Depp kann Erweiterungen bereitstellen. Da werden Leute ohne Ahnung zu Programmieren. Eine Vorab-Prüfung findet nicht wie bei Werbenetzwerken nicht statt (und gute Bewertungen sind kein Indiz für guten, sicheren, Code). Natürlich, wenn sich eine Lücke oder bösartige Erweiterung findet reagiert auch irgendwann einmal der Betreiber, aber dann ist bereits Schaden entstanden.

    Man sollte meiner Meinung einmal ernsthaft prüfen wovon mehr Gefahr ausgeht: Von Webservern die evtl. veraltete Kunden-Anwendungen ausführen, weil diese Kunden ihre Software nicht regelmäßig aktualisieren, oder von Leuten die dem Webserver volle Schreibrechte gewähren und auf Klick-Installationen bzw. Auto-Updater setzen.

    Ein Auto-Update mag zwar dafür sorgen, dass bekannte Lücken bei Verfügbarkeit eines Patches schneller geschlossen werden, der Preis dafür ist aber hoch:

    Hat ein Angreifer eine Lücke gefunden hat er die gesamte Rechenpower dieses Servers. Jetzt stellt euch mal einen Webserver vor der im Falle von WordPress nur auf wp-content/uploads Schreibrechte gewährt und zugleich sicherstellt, dass PHP in diesem Verzeichnis nichts ausführt.

    Der Komfort wäre weg. Klick-Installationen bzw. Auto-Updates gibt es nicht mehr bzw. fordern zum FTP-Fallback auf. Dafür ist es äußerst schwer beliebigen Programm-Code einzuschleusen.

    Natürlich, Content-Manipulierungen wie das Einbinden eines Exploit Kits ist weiterhin möglich. Die Rechenpower und Anbindung dieses Servers steht dem Angreifer aber nicht automatisch komplett zur Verfügung.


    Aus aktuellem Anlass: https://www.heise.de/newsticker/meldung/Anbieter-des-WordPress-Plugin-BlogVault-gehackt-3618141.html ... "Anschließend sollen einige Webseiten, die auf das Plugin setzen, mit Malware infiziert worden sein, warnt der Anbieter."

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. EUROIMMUN AG, Groß Grönau / Lübeck
  2. VR Payment GmbH, Frankfurt am Main
  3. BASF Services Europe GmbH, Berlin
  4. H-O-T Härte- und Oberflächentechnik GmbH & Co. KG, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 22,99€
  2. 33,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing

Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne

Westküste 100: Wie die Energiewende an der Küste aussehen soll
Westküste 100
Wie die Energiewende an der Küste aussehen soll

An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
Ein Bericht von Werner Pluta

  1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
  2. Energiewende Statkraft baut Schwungradspeicher in Schottland