WordPress hat das Update 4.7.2 seiner Content-Management-Software (CMS) veröffentlicht und dabei eine kritische Sicherheitslücke geschlossen. Aus zwei Gründen ist der Vorgang allerdings erwähnenswert. Zum einen hat WordPress sich das Problem durch schlechte Arbeit selbst eingebrockt. Zum anderen haben die Entwickler die sehr ernste Lücke anschließend absichtlich verharmlost. Die Argumentation für diesen Schritt wirkt zwar auf den ersten Blick nachvollziehbar. Bei näherer Betrachtung wirft sie allerdings einige Probleme auf.
Sicherheitslücke hielt mit WordPress 4.7 Einzug
Mit der Einführung von WordPress 4.7 wurde auch das REST API eingeführt. Die Schnittstelle ist standardmäßig aktiviert und lässt sich nicht einmal über das Admin-Interface des Systems abschalten. Bedauerlicherweise haben die Entwickler bei der Validierung der API keine gute Arbeit geleistet. Über JSON-Anfragen (JavaScript Object Notation – einfaches Datenformat in Textform mit dem Zweck des Datenaustauschs) können in den WordPress-Versionen 4.7 und 4.7.1 Angreifer von außen in das System eindringen und WordPress-Seiten beliebig manipulieren. Entsprechend gilt: Das Update 4.7.2 sollte dringend eingespielt werden, wenn dies nicht bereits geschehen ist. Gerade in Fällen, in denen die automatischen Updates von WordPress aufgrund von Kompatibilitätsproblemen nicht bezogen werden können, gilt: Das Update sollte sofort von Hand eingespielt werden.
WordPress-Entwickler verharmlosen das Problem bewusst
Die Sicherheitsfirma Sucuri entdeckte die Schwachstelle in WordPress am 20. Januar 2017 und meldeten sie an das Entwickler-Team des CMS. Was in der Folge geschah, ist bemerkenswert. Das Sicherheitsteam von WordPress entschied sich, das Problem über ein Update zu lösen. Laut eigener Angaben traf man zudem auch bewusst die Entscheidung, das Problem in den Update-Notizen bewusst zu verharmlosen.
Als Grund für die Verharmlosung nannten die Entwickler die Befürchtung, dass sich Angreifer sofort auf die Sicherheitslücke stürzten würden, sollte deren Ausmaß im vollen Umfang bekannt werden.
Kann man Update-Einstufungen noch trauen?
Vereinfacht gesagt stellt sich mit der Begründung der WordPress-Entwickler die folgende Frage: Kann man den Dringlichkeitseinstufungen von Updates noch trauen? Die ursprünglichen Notizen lasen sich nicht besonders dramatisch. WordPress hat damit bewusst in Kauf genommen, dass einige Nutzer das Update nicht bezogen, weil es ja offenbar nicht dramatisch notwendig war – und weiter mit der Sicherheitslücke lebten. WordPress musste zudem damit rechnen, dass sowieso herauskommen würde, wie ernst das Problem wirklich ist – so geschah es auch. Das Vertrauen vieler User in den aufrichtigen Umgang der Entwickler mit Sicherheitsfragen dürfte deutlich erschüttert sein.