Seite 1 von 1
webEdition 9.0.6 veröffentlicht
Verfasst: Fr 4. Dez 2020, 14:23
von mokraemer
Die neue Version ist eine Sicherheitsaktualisierung. Wir empfehlen diese bald möglichst einzuspielen!
Die (kurze) Historie unter
https://www.webedition.org/de/dokumenta ... sion-9.0.6
Re: webEdition 9.0.6 veröffentlicht
Verfasst: Mi 16. Dez 2020, 09:52
von e_herrmann
Hi Marc,
besteht die Sicherheitslücke von 9.0.6 auch im Entwicklungszweig 7 und 8?
Ich habe gerade eine Warnung via
www.openbugbounty.org bekommen. Die Seite lief auf 8.1.1. Ich habe jetzt ein Update auf 8.1.4 gemacht, weiter kann ich da im Moment nicht gehen, da nur MySQL 5.6 verfügbar ist.
Außerdem habe ich auch noch eine weitere Seite unter 7.04 laufen, die ich nicht updaten kann. Denn dort läuft ein Kalender, der mit höheren Versionen von WE nicht mehr funktioniert. Siehe
https://qa.webedition.org/tracker/view.php?id=12698
Wie seriös die Meldung bei openbugbounty.org ist, kann ich nicht einschätzen. Hast du vielleicht ein paar Infos, wie es mit der Anfälligkeit in den alten Versionen aussieht. Das würde dann ja nicht nur mich betreffen.
Danke und Grüße
Elko
Re: webEdition 9.0.6 veröffentlicht
Verfasst: Mi 16. Dez 2020, 12:46
von WBTMagnum
Stimmt, wäre interessant zu wissen ab welcher wE Version das relevant ist bzw. welchen Bereich / welches Feature das betrifft.
Liebe Grüße,
Sascha
Re: webEdition 9.0.6 veröffentlicht
Verfasst: Mi 16. Dez 2020, 17:25
von mokraemer
Nur Version 9 - 7 und 8 sind nicht betroffen. Wg. MySQL würde ich dem Hoster mal Druck machen.
Was hast du denn für einen Hinweis bekommen?
Re: webEdition 9.0.6 veröffentlicht
Verfasst: Mi 16. Dez 2020, 17:50
von e_herrmann
Improper Access Control Vulnerability
Security Researcher Cyber_India, a holder of 5 badges for responsible and coordinated disclosure, found a Improper Access Control security vulnerability affecting website and its users
Ich habe mal nachgeschaut, der hat in den letzten Monaten ca. 10000 Reports gemacht.
In den letzten Tagen waren es hunderte aus Deutschland.
Details gibt es nur gegen Geld, ist natürlich die Frage, wie seriös das ist.
Re: webEdition 9.0.6 veröffentlicht
Verfasst: Mi 13. Jan 2021, 09:58
von Rala
Ich habe für 2 Websites per
www.openbugbounty.org ebenfalls Warnhinweise bekommen. Es ist wohl so, dass sich da eine dubiose indische Firma dieser Check-Plattform bedient.
www.openbugbounty.org selbst ist anscheinend unproblematisch.
Die Sicherheitshinweise betreffen im Fall der mir genannten Websites JS-Bibliotheken bzw. -Skripte, die etwas veraltet sind. Z.B. älteres jquery. Meine Recherche ergab, dass diese jquery-Version tatsächlich XSS möglich machen soll. In diesem Fall sind das Skripte, dich ich selbst in den Websites verwende und keine Komponenten von webEdition.
Re: webEdition 9.0.6 veröffentlicht
Verfasst: Mi 13. Jan 2021, 11:47
von mokraemer
ok, dann ist das ja gut
Theoretisch könnte man auch jquery von WE nutzen, da aber auch hier durch die neuen jquery Versionen sich immer mal was ändert kann das auch problematisch sein wenn durch ein we update dann ein neues jquery rein kommt.