[English]Nutzer von WordPress, die as Plugin All-In-One Security (AIOS) noch in der Version 5.1.9 einsetzen, sollten umgehend reagieren. Der Maintainer UpdraftPlus hat eine Sicherheitsmeldung herausgegeben, weil das Plugin Passwörter für Benutzeranmeldungen im Klartext in der Datenbank ablegte.
Anzeige
In der Sicherheitsmeldung vom 13. Juli 2023 schreibt UpdraftPlus, dass im Plugin AIOS Version 5.2.0 und neuer einen Fehler in Version 5.1.9 behoben wurde. Der Fehler führte dazu, dass die Passwörter der Benutzer im Klartext zur WordPress-Datenbank hinzugefügt wurden. Ein böswilliger Website-Administrator (d. h. ein Benutzer, der bereits als Administrator auf der Website angemeldet ist) hätte diese Passwörter dann lesen können.
Dies wird zum Problem, wenn diese Website-Administratoren diese Passwörter bei anderen Diensten ausprobieren, bei denen Ihre Benutzer das gleiche Passwort verwendet haben könnten. Wenn die Anmeldungen bei diesen anderen Diensten nicht durch eine Zwei-Faktor-Authentifizierung geschützt sind, könnte dies ein Risiko für die betroffene Website darstellen.
Nachdem das Problem gemeldet wurde, hat der Entwickler dieses nicht nur ab der Version 5.2.0 behoben. Sondern diese Updates entfernen auch die vorhandenen protokollierten Daten, so dass sie nach einem Update nicht mehr vorhanden sind. Die Information kam vor knapp 3 Wochen von einem Nutzer, der den Bug im Forum meldete und schrieb:
I was absolutely shocked that a security plugin is making such a basic security 101 error (not to mention being out of compliance with NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR, ….)
Es ist erneut ein Beispiel, das mir zeigt, dass es sicherheitstechnisch hilfreich ist, möglichst wenige Plugins zu verwenden, diese immer aktuell zu halten und ggf. auch auf die Anmeldung von Nutzern zu verzichten. Das verhindert die Ausnutzung von Schwachstellen in WordPress, die durch angemeldete Nutzer erfolgen können – wie The Hacker News hier skizziert.
Anzeige
Anzeige
Das ist natürlich echt übel und zwar gleich in doppelter Hinsicht. Auf der einen Seite müssen die Admins nun möglichst schnell regieren und die Lücke durch ein Update schließen. Im Nachgang müssten eigentlich alle Benutzer informiert und zum Passwortwechsel gezwungen werden, denn die Passwörter muss man als "verbrannt" ansehen.
-> Hier habe ich arge Zweifel ob das in allen Fällen passieren wird
Auf der anderen Seite hat der Anwender das Problem, dass es ohne Hinweis fast nicht möglich ist festzustellen, ob man betroffen ist. Kaum jemand wird proaktiv alle seine Kennwörter bei allen Diensten ändern, nur weil das Plugin möglichweise von dem Dienst benutzt worden sein könnte.
-> Das zeigt wieder: Eigenständige Passwörter für jeden Dienst verwenden!
Gruß Singlethreaded
Der verlinkte Thread zum "Bug im Forum" ist in Gänze lesenwert und gleichzeitig erschreckend.