Die neue Version ist eine Sicherheitsaktualisierung. Wir empfehlen diese bald möglichst einzuspielen!
Die (kurze) Historie unter https://www.webedition.org/de/dokumenta ... sion-9.0.6
webEdition 9.0.6 veröffentlicht
webEdition 9.0.6 veröffentlicht
webEdition-Kern-Entwickler
-
- Senior Member
- Beiträge: 1319
- Registriert: Do 22. Mai 2003, 23:25
Re: webEdition 9.0.6 veröffentlicht
Hi Marc,
besteht die Sicherheitslücke von 9.0.6 auch im Entwicklungszweig 7 und 8?
Ich habe gerade eine Warnung via www.openbugbounty.org bekommen. Die Seite lief auf 8.1.1. Ich habe jetzt ein Update auf 8.1.4 gemacht, weiter kann ich da im Moment nicht gehen, da nur MySQL 5.6 verfügbar ist.
Außerdem habe ich auch noch eine weitere Seite unter 7.04 laufen, die ich nicht updaten kann. Denn dort läuft ein Kalender, der mit höheren Versionen von WE nicht mehr funktioniert. Siehe https://qa.webedition.org/tracker/view.php?id=12698
Wie seriös die Meldung bei openbugbounty.org ist, kann ich nicht einschätzen. Hast du vielleicht ein paar Infos, wie es mit der Anfälligkeit in den alten Versionen aussieht. Das würde dann ja nicht nur mich betreffen.
Danke und Grüße
Elko
besteht die Sicherheitslücke von 9.0.6 auch im Entwicklungszweig 7 und 8?
Ich habe gerade eine Warnung via www.openbugbounty.org bekommen. Die Seite lief auf 8.1.1. Ich habe jetzt ein Update auf 8.1.4 gemacht, weiter kann ich da im Moment nicht gehen, da nur MySQL 5.6 verfügbar ist.
Außerdem habe ich auch noch eine weitere Seite unter 7.04 laufen, die ich nicht updaten kann. Denn dort läuft ein Kalender, der mit höheren Versionen von WE nicht mehr funktioniert. Siehe https://qa.webedition.org/tracker/view.php?id=12698
Wie seriös die Meldung bei openbugbounty.org ist, kann ich nicht einschätzen. Hast du vielleicht ein paar Infos, wie es mit der Anfälligkeit in den alten Versionen aussieht. Das würde dann ja nicht nur mich betreffen.
Danke und Grüße
Elko
-
- webEdition Partner
- Beiträge: 1825
- Registriert: Di 7. Mär 2006, 16:50
- Wohnort: Wien
- Kontaktdaten:
Re: webEdition 9.0.6 veröffentlicht
Stimmt, wäre interessant zu wissen ab welcher wE Version das relevant ist bzw. welchen Bereich / welches Feature das betrifft.
Liebe Grüße,
Sascha
Liebe Grüße,
Sascha
Re: webEdition 9.0.6 veröffentlicht
Nur Version 9 - 7 und 8 sind nicht betroffen. Wg. MySQL würde ich dem Hoster mal Druck machen.
Was hast du denn für einen Hinweis bekommen?
Was hast du denn für einen Hinweis bekommen?
webEdition-Kern-Entwickler
-
- Senior Member
- Beiträge: 1319
- Registriert: Do 22. Mai 2003, 23:25
Re: webEdition 9.0.6 veröffentlicht
Ich habe mal nachgeschaut, der hat in den letzten Monaten ca. 10000 Reports gemacht.Improper Access Control Vulnerability
Security Researcher Cyber_India, a holder of 5 badges for responsible and coordinated disclosure, found a Improper Access Control security vulnerability affecting website and its users
In den letzten Tagen waren es hunderte aus Deutschland.
Details gibt es nur gegen Geld, ist natürlich die Frage, wie seriös das ist.
Re: webEdition 9.0.6 veröffentlicht
Ich habe für 2 Websites per www.openbugbounty.org ebenfalls Warnhinweise bekommen. Es ist wohl so, dass sich da eine dubiose indische Firma dieser Check-Plattform bedient. www.openbugbounty.org selbst ist anscheinend unproblematisch.
Die Sicherheitshinweise betreffen im Fall der mir genannten Websites JS-Bibliotheken bzw. -Skripte, die etwas veraltet sind. Z.B. älteres jquery. Meine Recherche ergab, dass diese jquery-Version tatsächlich XSS möglich machen soll. In diesem Fall sind das Skripte, dich ich selbst in den Websites verwende und keine Komponenten von webEdition.
Die Sicherheitshinweise betreffen im Fall der mir genannten Websites JS-Bibliotheken bzw. -Skripte, die etwas veraltet sind. Z.B. älteres jquery. Meine Recherche ergab, dass diese jquery-Version tatsächlich XSS möglich machen soll. In diesem Fall sind das Skripte, dich ich selbst in den Websites verwende und keine Komponenten von webEdition.
Re: webEdition 9.0.6 veröffentlicht
ok, dann ist das ja gut
Theoretisch könnte man auch jquery von WE nutzen, da aber auch hier durch die neuen jquery Versionen sich immer mal was ändert kann das auch problematisch sein wenn durch ein we update dann ein neues jquery rein kommt.
Theoretisch könnte man auch jquery von WE nutzen, da aber auch hier durch die neuen jquery Versionen sich immer mal was ändert kann das auch problematisch sein wenn durch ein we update dann ein neues jquery rein kommt.
webEdition-Kern-Entwickler
Wer ist online?
Mitglieder in diesem Forum: Bing [Bot] und 0 Gäste