4% der WordPress-Seiten mit kritischen Schwachstellen

Zu diesem Ergebnis kommt eine Studie des Schwachstellen-Spezialisten Qualys, die auf der vergangenen BlackHat vorgestellt wurde. Zu WordPress  hat das Whitepaper erfreuliches mitzuteilen. Nur 4% der WordPress-Webseiten zeigen demnach kritische Schwachstellen:

Versions before 2.5 are affected by a Critical vulnerability. 4% of administrators have not updated to the patched versions.

Mir sind nun Negativ-Hitlisten in Blogs aufgefallen die zwar Qualys als Quelle nennen, die sich aber weder mit den Qualys-Folien noch mit dem zugehörigen Whitepaper in Zusammenhang bringen lassen.

Als schlechtestes CMS wird dort phpBB genannt, wo angeblich 100% der untersuchten Installationen “kritische” Schwachstellen zeigten. Das Whitepaper sagt dazu:

Version 3.0.7 is affected by a “Moderate” severity vulnerability, and versions below 3.0.4 (in the 3.x branch) are affected by a minor vulnerability. The 2.x branch is considered obsolete. 40% of administrators have not updated to the patched versions of phpBB3, while 19% run an obsolete 2.x variant.

Ich komme da nicht auf 100% “Critical”. Auf Platz zwei der Negativliste soll mit 95% “kritischen” Schwachstellen Mediawiki stehen. Im Whitepaper heißt es:

Versions before 1.15.4 are affected by a Serious vulnerability. 96% of administrators have not updated to the patched versions.

“Serious” (3) und und “Critical” (4) sind aber zwei verschiedene Severity-Level bei Qualys. Insgesamt gibt es davon 5:

  1. Minimal
  2. Medium
  3. Serious
  4. Critical
  5. Urgent

Qualys selbst trägt natürlich zur Verwirrung bei, da sich Whitepaper und Folien mit den verwendeten Levels “Minor”, “Moderate”, “Major” und “High” selbst nicht an die Qualys-Vorgaben halten. Die Qualys-Level weichen darüber hinaus nicht selten von den Herstellerangaben ab. Also auch hier kann man zu unterschiedlichen Hitlisten kommen. Wenn Sie wissen wollen, wo Ihr CMS steht, sollten Sie also besser selbst einen Blick in die Studie werfen.

Hinterlassen Sie einen Kommetar

Mit dem Absenden Ihres Kommentars willigen Sie ein, dass der angegebene Name, die E-Mail-Adresse und die IP-Adresse, die Ihrem Internetanschluss aktuell zugewiesen ist, von mir im Zusammenhang mit Ihrem Kommentar gespeichert werden. Die E-Mail-Adresse und die IP-Adresse werden natürlich nicht veröffentlicht oder sonst weitergegeben. Mehr hierzu in der Datenschutzerklärung.