WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

Announcement

NEW! International forum (english language) now available at https://forum.wbce-cms.org. Feel free to switch over and register!
(This has no impact at all regarding support and discussions in german language.) See announcement here

#1 28.12.2016 17:32:33

florian
Projektmanagement und Support WBCE CMS

UPDATE: PHPmailer Security Fix - JETZT auf 5.2.20 aktualisieren

In dem populären Script PHPmailer, das auch von WBCE verwendet wird, wurde eine Sicherheitslücke entdeckt.
Es ist daher dringend erforderlich, so schnell wie möglich den bei ALLEN WBCE-Versionen < 1.1.10 mitgelieferten PHPmailer zu aktualisieren.

Die bekanntgewordene Sicherheitslücke im PHPmailer ist leider erst mit der Version 5.2.20 gefixt worden, die soeben veröffentlicht wurde.
(Der am 27.12.16 bereitgestellte Patch war NUTZLOS.)

Bitte so schnell wie möglich den Patch vom 28.12.16 einspielen: Dazu bitte patch-phpmailer-161228.zip herunterladen, lokal entpacken und nach /include/phpmailer kopieren. Vorhandene Dateien müssen überschrieben werden.
Für WBCE-Neuinstallationen NUR NOCH die Version 1.1.10 verwenden.

Wir entschuldigen uns für die Umstände, möchten aber vorsorglich darauf hinweisen, dass das ganze Theater nicht uns anzulasten ist.

P.S. Danke an das Community-Mitglied "digitalbricks" für den Hinweis!

(Edit am 06.01.17: Nur Hintergrundinfos aus vorherigem Announcement und Anleitung zum Einspielen des Patches ergänzt.)
--

Due to a currently disclosed security vulnerability of the popular 3rd party script PHPmailer it is necessary to update this script, which is shipped with ALL WBCE versions < 1.1.10, as soon as possible.

The security vulnerability was NOT fixed with the version 5.2.19 which was published on 2016/12/27. Hence the patch from that day was USELESS.

Please install IMMEDIATELY  the patch from 16/12/28. Please download  patch-phpmailer-161228.zip, unzip it to your local PC and upload all files to /include/phpmailer. Make sure that all existing files in this directory are overwritten.
Use for new instances of WBCE only the patched Version 1.1.10.

We apologize for any inconvenience. Nevertheless, please keep in mind that all this mess is not our fault.

P.S. Thanks to the community member "digitalbricks" for the advice!

(Edited on 17/01/06, just added background information and installation advice from older announcement)

Last edited by florian (28.12.2016 18:53:41)

Offline

Liked by:

better-work, henry40

#2 28.12.2016 21:09:53

petero
Member

Re: UPDATE: PHPmailer Security Fix - JETZT auf 5.2.20 aktualisieren

Frage: Die Versionsnummer des Downloadpakets ist immer noch 5.2.19 - soll das so sein?

Online

#3 28.12.2016 21:17:11

colinax
Developer

Re: UPDATE: PHPmailer Security Fix - JETZT auf 5.2.20 aktualisieren

Eigentlich Nein, leider lautet es dieses mal Ja, der Entwickler hat vergessen die Versionsnummer zu erhöhen.

Siehe: https://github.com/PHPMailer/PHPMailer/releases


Mein Herz schlägt für WBCE | WBCE = best community ever

Die aktuellsten Versionen vom CKEditor und FCKeditor gibt’s im AOR und/oder auf meiner GitHub Seite

Offline

Liked by:

petero

#4 28.12.2016 21:38:47

florian
Projektmanagement und Support WBCE CMS

Re: UPDATE: PHPmailer Security Fix - JETZT auf 5.2.20 aktualisieren

Ich habe den Download auf die 5.2.21 aktualisiert. Zwischen der Version 5.2.20 und 5.2.21 besteht der einzige Unterschied in der geänderten Datei "VERSION".

Wer also bereits den Patch von heute (patch-phpmailer-161228.zip) eingespielt hat, braucht nach derzeitigem Kenntnisstand kein weiteres Update einzuspielen. Ein Update von 5.2.20 auf 5.2.21 ist nur "Kosmetik", unsicher sind nur die Versionen einschließlich 5.2.19.

Zusammengefasst - Stand 28.12.2016, 20:31 Uhr:
PHPmailer kleiner/gleich 5.2.19 = unsicher
PHPmailer größer/gleich 5.2.20 = Lücke geschlossen.

--

I updated the patch to PHPmailer 5.2.21. There is no functional difference between 5.2.20 and 5.2.21, the developer of PHPmailer just forgot to update the "VERSION" file in his download package.

So if you have already updated your site with the patch file from today (patch-phpmailer-161228.zip), you have as far as I currently know already a version in which the vulnerability has been fixed. There is currently no necessarity to an update from 5.2.20 to 5.2.21. 

In short:
PHPmailer smaller or equal 5.2.19 = vulnerable
PHPmailer larger or equal 5.2.20 = hopefully fixed

Offline

Liked by:

stefanek, cwsoft, better-work

Board footer

Powered by FluxBB

up