WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

Du bist nicht angemeldet.

#1 27.02.2016 12:13:28

florian
Administrator

Security Patch 2016/02/27

english text below

Es wurde eine Sicherheitslücke bei WB classic bekannt, die leider auch WBCE betrifft.
Es steht ein Patch zur Verfügung. Dieses kann auch ohne Foren-Anmeldung von der WBCE-Website geladen werden.

DOWNLOAD HIER

Zur Installation die Zip-Datei lokal entpacken und per FTP ins Wurzelverzeichnis der WBCE-Instanz kopieren, vorhandene Dateien gleichen Namens dabei überschreiben. Es muss kein Installer- o.ä. Upgrade-Script ausgeführt werden.
Es handelt sich um einen Patch, es ist also kein vollständiger Installer. Ein Release, das den Patch enthält, wird in Kürze veröffentlicht.

Sollten irgendwelche Probleme auftreten, bitte hier im Forum antworten.

---

There was a vulnerability of WB classic detected which unfortunately concerns WBCE too.
You can download the patch also without a forum account at the WBCE website.

DOWNLOAD HERE

To install, just unzip the files to your local computer and copy them via FTP into the root of your WBCE installation. Please make sure that existing files with the same names are overwritten. It is not necessary to execute any update or installation scripts.
Please be aware that it's just a patch, not a complete installation package. We will publish a release including the patch soon.

If you encounter any trouble please answer to this thread.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#2 27.02.2016 17:00:56

wb_user82
Mitglied

Re: Security Patch 2016/02/27

Vielen Dank für eure Arbeit smile
Zwei Fragen meinerseits:
1. Betrifft das denn nur die aktuelle Version 1.1 oder auch die WBCE 1.0=
2. Wie "wichtig" ist dieses Patch? Also handelt es sich um ernsthafte Sicherheitslücken, welche unbedingt geschlossen werden müssen?

Offline

#3 27.02.2016 17:56:31

florian
Administrator

Re: Security Patch 2016/02/27

Betrifft auch 1.0 und sollte insbesondere bei Seiten mit verschiedenen Backend-Nutzern kurzfristig eingespielt werden


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#4 27.02.2016 18:11:13

norhei
Developer

Re: Security Patch 2016/02/27

Betrifft beide 1.1 und 1.0 , sowie WB Classic 2.8.3 SP5 und alle Älteren Versionen.

Es werden GET Parameter direkt in die Datenbank geschrieben ohne das eine Validierung oder ein Escape stattfindet.
Das ist zum Thema SQL Injection das absolut schlimmste was passieren kann. 
Damit kann man in der Datenbank fast alles machen. z.B. Benutzer anlegen.
Einziger Bonus, der Angreifer muss angemeldet sein, aber darauf würde ich mich nicht verlassen

Das einspielen dauert kaum ne Minute, kein Upgrade Script, einfach drüber Kopieren,  das ist es wert.

Der Patch ist auch für beide Versionen. und ist getestet mit WB 2.8.3 SP4 , SP3 und SP5 sollten auch funktionieren , ist aber ungetestet.

Offline

#5 28.02.2016 15:30:19

wb_user82
Mitglied

Re: Security Patch 2016/02/27

Super, vielen Dank für eure Information! Habe das Patch aufgespielt. Ich finde es echt toll, dass sich hier um alles so schnell gekümmert wird smile

Beitrag geändert von wb_user82 (28.02.2016 15:30:43)

Offline

#6 29.02.2016 11:11:26

ice
Mitglied

Re: Security Patch 2016/02/27

Hallo, in eurem Komplett-Paket von WBCE inkl. diesem Patch (http://www.wbce.org/media/wbce_1.1.3_in … 160227.zip) ist eine leere config.php Datei im root enthalten. Das dürfte nicht sein, denn beim unbedachten upload für ein update einer bestehenden Installation würde man sich seine eigene config.php überschreiben. Eigentlich sollte laut eurer Anleitung eine config.php.new Datei im root enthalten sein ...

Beitrag geändert von ice (29.02.2016 11:12:14)

Offline

#7 29.02.2016 11:21:02

florian
Administrator

Re: Security Patch 2016/02/27

Danke für den Hinweis, ist korrigiert


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#8 18.03.2016 13:37:45

ice
Mitglied

Re: Security Patch 2016/02/27

Und, was sagen die Profis? Alles richtig gemacht im Patch?
https://www.htbridge.com/advisory/HTB23296

Beitrag geändert von ice (18.03.2016 13:38:08)

Offline

#9 18.03.2016 14:56:56

webbird
Administrator

Re: Security Patch 2016/02/27

HTBridge bewertet den Fix nicht. Die geben sich mit der Rückmeldung zufrieden, daß der Fehler behoben wurde.


Ich habe eine Amazon-Wishlist. wink Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#10 18.03.2016 17:41:34

norhei
Developer

Re: Security Patch 2016/02/27

Na,  dann bewerte ich den mal. Der Report enthält genau das was wir nach den Änderungen an WB Classic auch angenommen haben. Nach dem die Stellen im Classic Quelltext gefunden waren, war alles eigentlich nur noch Copy and Paste.  Obendrein hat vermutlich Luisehahne noch an allen möglichen Stellen die Mysql Escape Funktion reingeklatscht , völlig egal ob das Sinn machte oder nicht hmm    Einige von den Stellen habe ich mitgenommen wobei ich versucht hatte auf die Schnelle auszusortieren was Sinn macht und was nicht, die Restlichen habe ich einfach bleiben lassen.  Das Kernproblem waren einige Variablen die einfach ohne jede Überprüfung in die DB geschrieben wurden und das ist definitiv gepatcht. Man kann jetzt zwar immer noch unsinnige Sprachkürzel dort eingeben, nur wenn die Sprache nicht existiert wird halt Englisch angezeigt ...

Also an der Sicherheits Front nichts neues.
Patch ist gut und jetzt machen wir noch schnell ein Release draus das auch den upgrade Bug von 2.8.1 (WBstats) fixt und dann haben wir eine 1.1.5.  Die Versionsnummer ist deswegen, weil ich grade dabei war die 1.1.4 (https://github.com/WBCE/WebsiteBaker_Co … /tag/1.1.4)zu releasen als in diesem Moment die Sicherheitswarnung in mein Postfach purzelte. Dummerweise war das Release schon auf Github eingestellt sad  So spielt nunmal das Leben ....

Was ich Dumm finde, ist das HTBridge offenbar nicht auf Mails antwortet ... naja ...

Offline

#11 24.03.2016 07:32:51

florian
Administrator

Re: Security Patch 2016/02/27


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#12 17.06.2016 14:27:16

screamindan
Mitglied

Re: Security Patch 2016/02/27

Hallo. Hab eine 1.1.5 laufen. Sollte ich auf die 1.1.6 upgraden, oder lohnt das nicht?

Offline

#13 17.06.2016 14:29:48

florian
Administrator

Re: Security Patch 2016/02/27


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#14 17.06.2016 14:31:29

screamindan
Mitglied

Re: Security Patch 2016/02/27

Ah ok... Is also das selbe. Hatte mich nur kurz erschrocken. Dann freu ich mich mal auf das nächste Release... wink

Offline

Fußzeile des Forums

up