WBCE CMS – Way Better Content Editing.
Du bist nicht angemeldet.
english text below
Es wurde eine Sicherheitslücke bei WB classic bekannt, die leider auch WBCE betrifft.
Es steht ein Patch zur Verfügung. Dieses kann auch ohne Foren-Anmeldung von der WBCE-Website geladen werden.
Zur Installation die Zip-Datei lokal entpacken und per FTP ins Wurzelverzeichnis der WBCE-Instanz kopieren, vorhandene Dateien gleichen Namens dabei überschreiben. Es muss kein Installer- o.ä. Upgrade-Script ausgeführt werden.
Es handelt sich um einen Patch, es ist also kein vollständiger Installer. Ein Release, das den Patch enthält, wird in Kürze veröffentlicht.
Sollten irgendwelche Probleme auftreten, bitte hier im Forum antworten.
---
There was a vulnerability of WB classic detected which unfortunately concerns WBCE too.
You can download the patch also without a forum account at the WBCE website.
To install, just unzip the files to your local computer and copy them via FTP into the root of your WBCE installation. Please make sure that existing files with the same names are overwritten. It is not necessary to execute any update or installation scripts.
Please be aware that it's just a patch, not a complete installation package. We will publish a release including the patch soon.
If you encounter any trouble please answer to this thread.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Vielen Dank für eure Arbeit
Zwei Fragen meinerseits:
1. Betrifft das denn nur die aktuelle Version 1.1 oder auch die WBCE 1.0=
2. Wie "wichtig" ist dieses Patch? Also handelt es sich um ernsthafte Sicherheitslücken, welche unbedingt geschlossen werden müssen?
Offline
Betrifft auch 1.0 und sollte insbesondere bei Seiten mit verschiedenen Backend-Nutzern kurzfristig eingespielt werden
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Betrifft beide 1.1 und 1.0 , sowie WB Classic 2.8.3 SP5 und alle Älteren Versionen.
Es werden GET Parameter direkt in die Datenbank geschrieben ohne das eine Validierung oder ein Escape stattfindet.
Das ist zum Thema SQL Injection das absolut schlimmste was passieren kann.
Damit kann man in der Datenbank fast alles machen. z.B. Benutzer anlegen.
Einziger Bonus, der Angreifer muss angemeldet sein, aber darauf würde ich mich nicht verlassen
Das einspielen dauert kaum ne Minute, kein Upgrade Script, einfach drüber Kopieren, das ist es wert.
Der Patch ist auch für beide Versionen. und ist getestet mit WB 2.8.3 SP4 , SP3 und SP5 sollten auch funktionieren , ist aber ungetestet.
Offline
Super, vielen Dank für eure Information! Habe das Patch aufgespielt. Ich finde es echt toll, dass sich hier um alles so schnell gekümmert wird
Beitrag geändert von wb_user82 (28.02.2016 15:30:43)
Offline
Hallo, in eurem Komplett-Paket von WBCE inkl. diesem Patch (http://www.wbce.org/media/wbce_1.1.3_in … 160227.zip) ist eine leere config.php Datei im root enthalten. Das dürfte nicht sein, denn beim unbedachten upload für ein update einer bestehenden Installation würde man sich seine eigene config.php überschreiben. Eigentlich sollte laut eurer Anleitung eine config.php.new Datei im root enthalten sein ...
Beitrag geändert von ice (29.02.2016 11:12:14)
Offline
Danke für den Hinweis, ist korrigiert
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Und, was sagen die Profis? Alles richtig gemacht im Patch?
https://www.htbridge.com/advisory/HTB23296
Beitrag geändert von ice (18.03.2016 13:38:08)
Offline
HTBridge bewertet den Fix nicht. Die geben sich mit der Rückmeldung zufrieden, daß der Fehler behoben wurde.
Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal
Offline
Na, dann bewerte ich den mal. Der Report enthält genau das was wir nach den Änderungen an WB Classic auch angenommen haben. Nach dem die Stellen im Classic Quelltext gefunden waren, war alles eigentlich nur noch Copy and Paste. Obendrein hat vermutlich Luisehahne noch an allen möglichen Stellen die Mysql Escape Funktion reingeklatscht , völlig egal ob das Sinn machte oder nicht Einige von den Stellen habe ich mitgenommen wobei ich versucht hatte auf die Schnelle auszusortieren was Sinn macht und was nicht, die Restlichen habe ich einfach bleiben lassen. Das Kernproblem waren einige Variablen die einfach ohne jede Überprüfung in die DB geschrieben wurden und das ist definitiv gepatcht. Man kann jetzt zwar immer noch unsinnige Sprachkürzel dort eingeben, nur wenn die Sprache nicht existiert wird halt Englisch angezeigt ...
Also an der Sicherheits Front nichts neues.
Patch ist gut und jetzt machen wir noch schnell ein Release draus das auch den upgrade Bug von 2.8.1 (WBstats) fixt und dann haben wir eine 1.1.5. Die Versionsnummer ist deswegen, weil ich grade dabei war die 1.1.4 (https://github.com/WBCE/WebsiteBaker_Co … /tag/1.1.4)zu releasen als in diesem Moment die Sicherheitswarnung in mein Postfach purzelte. Dummerweise war das Release schon auf Github eingestellt So spielt nunmal das Leben ....
Was ich Dumm finde, ist das HTBridge offenbar nicht auf Mails antwortet ... naja ...
Offline
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Hallo. Hab eine 1.1.5 laufen. Sollte ich auf die 1.1.6 upgraden, oder lohnt das nicht?
Offline
1.1.5 == 1.1.6
Siehe http://forum.wbce.org/viewtopic.php?id=502
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Ah ok... Is also das selbe. Hatte mich nur kurz erschrocken. Dann freu ich mich mal auf das nächste Release...
Offline