Varoitus 3/2014: Vakava haavoittuvuus WordPress 3-sarjan ohjelmistoissa

Suositusta verkkosivujen ja blogien käytössä olevasta WordPress-julkaisuohjelmistosta on löydetty vakava haavoittuvuus. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi helposti ottaa www-palvelimen kokonaan hallintaansa. Haavoittuvuus koskee kaikkia WordPressin 3-sarjan versioita (3.0 - 3.9.2).

WordPress-projekti on julkaissut haavoittuvuuden korjaavan ohjelmistopäivityksen. Kyberturvallisuuskeskus suosittelee www-sivustopalveluiden tarjoajille päivityksen asentamista välittömästi.

Varoituksen kohderyhmä

  • palvelinten ylläpitäjät

Mitä koskee

  • www-palvelimet, joihin asennettu WordPress versio 3.0-3.9.2
  • kaikki käyttöjärjestelmät
  • kaikki palvelinohjelmistot

Mahdolliset vaikutukset

Hyökkääjä voi lukea www-palvelimelta salaiseksi tarkoitettua sisältöä, muokata sisältöä mielensä mukaan ja tuhota sisältöä. Haavoittuvuuden hyväksikäyttö voi siis vaarantaa palvelimella olevan tiedon luottamuksellisuuden, eheyden ja saatavuuden.

Lisäksi hyökkääjä voi käyttää hallintaansa saamaansa palvelinta aseena muihin hyökkäyksiin, kuten palvelunestohyökkäyksiin muita palvelimia kohtaan. Joidenkin aiempien WordPress-ohjelmiston haavoittuvuuksien tapauksissa näin on myös käynyt.

Haavoittuvuuden hyväksikäyttöä on vaikea havaita, sillä hyökkäys on nopea suorittaa ja hyökkääjän on helppo peittää jälkensä heti saatuaan www-palvelimen hallintaansa.

Ratkaisu- ja rajoitusmahdollisuudet

Kyberturvallisuuskeskus suosittelee www-palveluiden tarjoajia päivittämään WordPress-ohjelmistonsa korjattuun versioon välittömästi.

  • Haavoittuvuus on korjattu WordPressin versiossa 4.01
  • Mikäli WordPressin automaattinen taustapäivitysmekanismi on käytössä päivittää se automaattisesti versiot 3.9.2, 3.8.4 ja 3.7.4 ohjelmistoversioihin 3.9.3, 3.8.5 ja 3.7.5 haavoittuvuuden korjaamiseksi. Valmistaja suosittelee päivittämistä versioon 4.0.1, koska vanhemmat versiot eivät ole tuettuja.

Jos WordPress-ohjelmiston päivittäminen ei ole mahdollista, haavoittuvuuden hyväksikäyttöä voi rajoittaa estämällä kommenttien lisääminen sivuille.

Www-sivustopalveluiden tuottajia suositellaan myös harkitsemaan palvelimen ylläpitotunnusten tarkastamista ylimääräisten tai asiattomasti muutettujen tunnusten varalta.

WordPress-ohjelmistolla tuotettujen verkkosivujen loppukäyttäjille haavoittuvuus ei aiheuta toimenpiteitä.

Haavoittuvuus ja sen hyväksikäyttö

WordPress on suosittu ohjelmisto blogien ja muiden www-julkaisuiden sisällönhallintaan. Www-sivustopalvelun ylläpitäjä voi asentaa WordPressin www-palvelimeensa helpottamaan sivujen muotoilua ja sisällön hallintaa. Web Technology Surveys -sivuston tietojen mukaan WordPressiä käytetään noin 23 prosentissa maailman www-sivustoista ja niistä noin 66 % käyttää jotakin 3-sarjan versiota. Kyberturvallisuuskeskuksella ei ole käytettävissä vastaavia tilastoja Suomesta, mutta tilanteen voi arvioida Suomessa olevan samansuuntainen. WordPressin versio 4.0 julkaistiin 4.9.2014.

WordPressin 3.9.2 ja sitä edeltävissä versioissa on haavoittuvuus, jota hyväksikäyttäen hyökkääjä voi saada palvelimen suorittamaan julkaistuun sivuun kirjoitetun JavaScript-ohjelmakoodia sisältävän kommentin. Kommenttien lisääminen on oletusarvoisesti sallittu kaikille sivuston lukijoille ilman tunnistautumista.

WordPress-ohjelmisto suorittaa kommentissa olevan sopivasti muotoillun JavaScript-koodin automaattisesti, kun sivuston ylläpitäjä avaa kommentin sen sisällön tarkastamiseksi. Hyökkäysmielessä laadittu ohjelmakoodi voi esimerkiksi muuttaa ylläpitäjän salasanan hyökkääjän valitsemaksi salasanaksi ja poistaa samalla WordPressin lokeista hyökkäykseen viittaavat tiedot.


Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248