Pyydämme asiakkaitamme päivittämään WordPress-sisällönhallintajärjestelmät

Pyydämme asiakkaitamme päivittämään WordPress-sisällönhallintajärjestelmät

Pyytö perustuu Vietintäviraston 21.11.2014 julkaisemaan tietoturvatiedotteeseen:
Haavoittuvuus 126/2014: Kriittinen haavoittuvuus WordPress-sisällönhallintajärjestelmässä
 
Suoralainaus:
 
---------------------------------

Haavoittuvuus 126/2014: Kriittinen haavoittuvuus WordPress-sisällönhallintajärjestelmässä
 
21.11.2014
 
Ajantasainen versio tästä haavoittuvuustiedotteesta löytyy osoitteesta https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuus-2014-126.html
 
 
WordPress-sisällönhallintajärjestelmästä on löytynyt kriittinen haavoittuvuus. Haavoittuvuus koskee kaikkia toistaiseksi julkaistuja WordPress 3 -versioita. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa mielivaltaisia komentoja ylläpitäjän oikeuksin ja tätä kautta esimerkiksi vaihtaa ylläpitäjän salasanaa. Haavoittuvuuden hyväksikäyttö ei vaadi kirjautumista, ja sen mahdollistava kommentointiominaisuus on oletuksena käytössä WordPress-ohjelmiston perusasennuksessa.
 
Haavoittuvuus liittyy WordPress-asennuksen sivujen sekä viestien kommentointimahdollisuuteen, johon sopivalla tavalla muokattua JavaScript-ohjelmakoodia syöttämällä voi hyökkääjä saada kohdepalvelimen haltuunsa.
 
Haavoittuvuuden hyväksikäyttö vaatii sen, että sivustolle syötetty kommentti luetaan ylläpitäjän tunnuksella. Tällöin kommentin sisällä oleva ohjelmakoodi suoritetaan, ja tämän kautta hyökkääjä voi saada kohdejärjestelmän haltuunsa. Ohjelmakoodin suorittaminen ei näy järjestelmän ylläpitäjälle mitenkään. Kommenttien tarkastaminen etukäteen on yleinen käyttötapa WordPress-sivustoilla, jolloin kommentit tulevat julkisiksi vasta siinä vaiheessa kun sivuston ylläpitäjä on ne hyväksynyt (englanniksi "moderation").
 
Haavoittuvuuden mahdollistava ohjelmointivirhe on WordPress-asennuksen tiedostossa wp-includes/formatting.php. Ohjelmointivirheen johdosta ohjelmisto tulkitsee kommenttikenttään syötetyt hakasulku- ja kulmamerkit virheellisesti, mikä johtaa sopivalla tavalla käytettynä halutun tekstin suorittamisen HTML-koodina.
Ylläpitäjien tulee päivittää haavoittuvat WordPress-asennukset korjattuihin versioihin mahdollisimman pikaisesti.
 
Haavoittuvuuden löysi suomalainen haavoittuvuustutkija.
 
 
HAAVOITTUVUUDEN LUOKITUS:
 
Kohde:
 - palvelimet ja palvelinsovellukset
 
Hyökkäystapa:
 - ilman kirjautumista
 - etäkäyttö
 - ilman käyttäjän toimia
 
Hyväksikäyttö:
 - komentojen mielivaltainen suorittaminen
 - käyttövaltuuksien laajentaminen
 - tietojen muokkaaminen
 - luottamuksellisen tiedon hankkiminen
 - palvelunestohyökkäys
 - suojauksen ohittaminen
 
Ratkaisu:
 - korjaava ohjelmistopäivitys
 - ongelman rajoittaminen
 
HAAVOITTUVAT OHJELMISTOT:
 
WordPress 3.0 - 3.9.2
 
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:
 
Suositeltu ratkaisukeino on päivittää haavoittuva ohjelmisto valmistajan ohjeen mukaisesti versioon 4.0.1
 
Mikäli WordPressin automaattinen taustapäivitysmekanismi on käytössä päivittää se automaattisesti versiot 3.9.2, 3.8.4 ja 3.7.4 ohjelmistoversioihin 3.9.3, 3.8.5 ja 3.7.5 haavoittuvuuden korjaamiseksi. Valmistaja suosittelee asennusten päivittämistä kuitenkin versioon 4.0.1, koska vanhemmat versiot eivät ole tuettuja.
 
Jos päivittäminen ei ole mahdollista, hyväksikäyttömahdollisuutta voi rajoittaa poistamalla käyttäjiltä mahdollisuus lisätä sivuille kommentteja.
 
LISÄTIETOA: