Sicherheitsupdate in ISC 2.3.1 – die Hintergründe

Image Source Control hat mit Version 2.3.1 ein Sicherheitsupdate erhalten. Die geschlossene Sicherheitslücke erlaubte es angemeldeten Nutzern mit mindestens Mitarbeiterrechten, mit eigenem Schadcode die Meta-Angaben von Beiträgen zu verändern.

Das Update stellt nun sicher, dass nur noch Nutzer mit Zugriff auf entsprechende Beiträge die Meta-Angaben ändern können die zu Image Source Control gehören.

Es muss einiges zusammenkommen um diese Lücke auszunutzen. Damit will ich sie aber keinesfalls klein reden. Ich möchte mit diesem Beitrag vielmehr die Chance nutzen um etwas über den Ablauf so einer Sicherheitsmeldung zu berichten. Das kann Nutzer wie andere Pluginentwickler gleichermaßen interessieren.

Sicherheitsupdates sind Alltag

Als Autor mehrerer WordPress Plugins habe ich in den letzten 10 Jahren schon einige Hinweis auf mögliche Sicherheitsprobleme erhalten und die Ursachen behoben. Es gibt kein großes Plugin, bei welchem das nicht der Fall ist.

Dennoch, Routine ist das nicht. Im ersten Moment ist das sogar ein Schock. Das aber nicht etwa, weil eine Sicherheitslücke von mir jemals ausgenutzt wurde oder werden konnte.

Das Problem ist vielmehr die Angst vor einem möglichen Gesichtsverlust. Es gibt international wie national Unternehmen, die mit der Identifizierung und Veröffentlichung von Sicherheitslücken in Plugins Geld verdienen. Einige von ihnen scheinen mit geradezu hysterischen Berichten über die Unsicherheit von auf WordPress basierender Software auf Kundenfang zu gehen.

Entsprechend bin ich etwas zusammengezuckt, als mich vor wenigen Tagen eine E-Mail von WPScan erreichte in der sie mir über die Sicherheitslücke berichteten. Diese wurde ihnen angeblich von jemand externen eingereicht.

So sah der Ablauf genau aus:

  • 23. September – E-Mail von WP Scan über das Supportformular von Image Source Control.
  • 24. September – Alle Verständnisfragen zum Reproduzieren und Verhindern der Lücke sind mit WP Scan geklärt.
  • Das Leben geht weiter. Ein Full-Time-Job, Austausch mit einem Entwicklerkollegen, ausreichend Tests.
  • 29. September – Update der neuen Version von Image Source Control; Pro-Beta aktualisiert und allen Vorabnutzern per Mail zugeschickt.

Das Geschäftsmodell

WPScan verdient Geld mit einem Abo auf Meldungen zu Sicherheitslücken in WordPress-Plugins. Daran ist zunächst nichts auszusetzen. Der Unterschied zu Diensten, mit denen die WordPress-Community in der Vergangenheit negative Erfahrungen machte besteht darin, dass sie den Pluginentwicklern die Chance geben, die Lücke zu schließen, bevor sie darüber berichten.

Ein Vorgehen dieser Art finde ich durchaus fair. Ich als Entwickler erhalte konkrete Informationen über mögliche Sicherheitslücken und Zeit diese zu schließen, während der Anbieter sich dafür rühmt den Fehler gefunden oder zumindest zu haben oder zumindest Anreize setzt, dass andere sich mit entsprechenden Hinweisen melden.

Etwas zwiegespalten bin ich bei der Frage, ob bei so einem Bericht auch die genauen Details zumr Ausnutzung der Lücke veröffentlicht werden müssen.

Wer es auf Sicherheitslücken abgesehen hat, findet schnell Seiten, auf denen noch alte Pluginversionen laufen. Zum Schutz von Webseitenbetreibern ohne Auto-Updates von Plugins wäre es daher aus meiner Sicht besser, konkretere Informationen zurückzuhalten.

Zugegeben, eifrige und böswillige Hacker können weiterhin anhand der öffentlich bei wordpress.org einsehbaren Änderungen an Plugins, eigenen Schadcode entwerfen. Doch die Hürde wäre deutlich höher.

Zu diesem Zeitpunkt hat WPScan die Meldung übrigens auch noch nicht veröffentlicht. Wer will, findet sie später sicherlich über Google.

Ist WordPress überhaupt sicher?

Ja, und zwar genau weil es viele Menschen und mittlerweile Dienste gibt die sich um die Sicherheit kümmern.