Seite 1 von 1

webEdition 9.0.6 veröffentlicht

Verfasst: Fr 4. Dez 2020, 14:23
von mokraemer
Die neue Version ist eine Sicherheitsaktualisierung. Wir empfehlen diese bald möglichst einzuspielen!
Die (kurze) Historie unter https://www.webedition.org/de/dokumenta ... sion-9.0.6

Re: webEdition 9.0.6 veröffentlicht

Verfasst: Mi 16. Dez 2020, 09:52
von e_herrmann
Hi Marc,
besteht die Sicherheitslücke von 9.0.6 auch im Entwicklungszweig 7 und 8?
Ich habe gerade eine Warnung via www.openbugbounty.org bekommen. Die Seite lief auf 8.1.1. Ich habe jetzt ein Update auf 8.1.4 gemacht, weiter kann ich da im Moment nicht gehen, da nur MySQL 5.6 verfügbar ist.
Außerdem habe ich auch noch eine weitere Seite unter 7.04 laufen, die ich nicht updaten kann. Denn dort läuft ein Kalender, der mit höheren Versionen von WE nicht mehr funktioniert. Siehe https://qa.webedition.org/tracker/view.php?id=12698

Wie seriös die Meldung bei openbugbounty.org ist, kann ich nicht einschätzen. Hast du vielleicht ein paar Infos, wie es mit der Anfälligkeit in den alten Versionen aussieht. Das würde dann ja nicht nur mich betreffen.

Danke und Grüße
Elko

Re: webEdition 9.0.6 veröffentlicht

Verfasst: Mi 16. Dez 2020, 12:46
von WBTMagnum
Stimmt, wäre interessant zu wissen ab welcher wE Version das relevant ist bzw. welchen Bereich / welches Feature das betrifft.

Liebe Grüße,
Sascha

Re: webEdition 9.0.6 veröffentlicht

Verfasst: Mi 16. Dez 2020, 17:25
von mokraemer
Nur Version 9 - 7 und 8 sind nicht betroffen. Wg. MySQL würde ich dem Hoster mal Druck machen.

Was hast du denn für einen Hinweis bekommen?

Re: webEdition 9.0.6 veröffentlicht

Verfasst: Mi 16. Dez 2020, 17:50
von e_herrmann
Improper Access Control Vulnerability
Security Researcher Cyber_India, a holder of 5 badges for responsible and coordinated disclosure, found a Improper Access Control security vulnerability affecting website and its users
Ich habe mal nachgeschaut, der hat in den letzten Monaten ca. 10000 Reports gemacht.
In den letzten Tagen waren es hunderte aus Deutschland.
Details gibt es nur gegen Geld, ist natürlich die Frage, wie seriös das ist.

Re: webEdition 9.0.6 veröffentlicht

Verfasst: Mi 13. Jan 2021, 09:58
von Rala
Ich habe für 2 Websites per www.openbugbounty.org ebenfalls Warnhinweise bekommen. Es ist wohl so, dass sich da eine dubiose indische Firma dieser Check-Plattform bedient. www.openbugbounty.org selbst ist anscheinend unproblematisch.
Die Sicherheitshinweise betreffen im Fall der mir genannten Websites JS-Bibliotheken bzw. -Skripte, die etwas veraltet sind. Z.B. älteres jquery. Meine Recherche ergab, dass diese jquery-Version tatsächlich XSS möglich machen soll. In diesem Fall sind das Skripte, dich ich selbst in den Websites verwende und keine Komponenten von webEdition.

Re: webEdition 9.0.6 veröffentlicht

Verfasst: Mi 13. Jan 2021, 11:47
von mokraemer
ok, dann ist das ja gut :)
Theoretisch könnte man auch jquery von WE nutzen, da aber auch hier durch die neuen jquery Versionen sich immer mal was ändert kann das auch problematisch sein wenn durch ein we update dann ein neues jquery rein kommt.