CMS Made Simple 1.9.4.2 veröffentlicht

nockenfell · 26. Mai 2011 05:29

Heute möchten wir ein wichtiges Sicherheitsupdate ankündigen welches eine Sicherheitslücke in allen CMS Made Simple Versionen schliesst.

Heute wurde das Dev Team über eine Sicherheitslücke in unserer Software informiert. Anscheinend ist das Newsmodul in allen Versionen offen für eine SQL Injection Attacke welche es ermöglicht, sämtliche hash's aller Passwörter der Administrator-Benutzer auszulesen. Dies ermöglicht den Hackern Administratorenzugang zur Webseite zu erlangen, wenn die Hashes mittel Rainbow-Tabelle verifiziert werden können.

Wir haben CMS Made Simple 1.9.4.2 veröffentlich mit Fixes im Newsmodul um die Sicherheitslücke zu schliessen. Wir ermuntern alle Benutzer, sobald wie möglich ihre Webseite zu aktualisieren. Zusätzlich haben wir einen Patch für die 1.6er Serie von CMS Made Simple veröffentlicht. CMS Made Simple 1.6.10 ist für die Nutzer gedacht, welche noch immer PHP4 einsetzen.

Beide Versionen von CMS Made Simple können von unserer Webseite heruntergeladen werden.

Ab jetzt wird nur noch CMS Made Simple 1.9.3 und neuer vom Dev-Team unterstützt. Bitte versichere dich, dass du ein Upgrade auf die letzte Version von CMS Made Simple gemacht hast, bevor du um Support beim Dev-Team anfragst.

Erneut möchten wir uns für eure Unterstützung bedanken und fordern dich auf, sobald wie möglich auf CMS Made Simple 1.9.4.2 zu aktualisieren.

Zum Original-Artikel: http://www.cmsmadesimple.org/2011/05/CMSMS-1-9-4-2

Zum Download: http://www.cmsmadesimple.org/downloads/

Andynium · 26. Mai 2011 06:36

Danke für die Info!

nockenfell schrieb:

Anscheinend ist das Newsmodul in allen Versionen offen für eine SQL Injection Attacke welche es ermöglicht, sämtliche hash's aller Passwörter der Administrator-Benutzer auszulesen.

Es wäre nur mal spannend / wichtig zu wissen, ob davon auch die Module betroffen sind, die auf dem News-Modul basieren ...

nockenfell · 26. Mai 2011 06:55

cyberman schrieb:

Es wäre nur mal spannend / wichtig zu wissen, ob davon auch die Module betroffen sind, die auf dem News-Modul basieren ...

Dazu müsste man näheres zur Lücke wissen. Eine SQL Injection kann relativ einfach verhindert werden, wenn mysqli genutzt wird. Keine Ahnung wie gut dies hier abgesichert ist.

Andynium · 26. Mai 2011 07:17

nockenfell schrieb:

wenn mysqli genutzt wird.

Ist auch so so ein Thema roll ... meines Wissens wird dies weder von CMSMS selbst noch von einem Modul genutzt. Insoweit ist das Laden der entsprechenden Erweiterung in der adodb.functions.php relativ zweckfrei und eher eine Performance-Bremse.

$dbinstance =& ADONewConnection($config['dbms'], 'pear:date:extend:transaction');

Andynium · 26. Mai 2011 12:26

cyberman schrieb:

Es wäre nur mal spannend / wichtig zu wissen, ob davon auch die Module betroffen sind, die auf dem News-Modul basieren ...

Hab es mir mal testhalber CGBlog 1.72 angesehen - enthält den gleichen Problem-Code wie das News-Modul hmm ...

NaN · 26. Mai 2011 13:30

Also die Sicherheitslücke betrifft doch nur drei Zeilen in der action.default.php.
Und diese drei Zeilen kann ich im CGBlog nicht finden.
Wo genau hast Du da nachgeschaut?

Andynium · 26. Mai 2011 14:12

Vergleich mal News 2.11.3, action.default.php, Zeile 141 und CGBlog 1.7.2, action.default.php, Zeile 243 wink .

NaN · 26. Mai 2011 14:26

DIFF-Viewer sind alle Mist.
Wenn man nicht alles selber prüft lol
Danke.
Hatte schon gehofft, das Update betrifft mich nicht, weil ich kein News verwende.

Andynium · 26. Mai 2011 14:52

Kann mich da nicht beklagen - komme hier mit Beyond Compare 3 ganz gut zurecht cool ...

NaN · 26. Mai 2011 15:13

Leider nicht für Mac sad

Alle die, die das News-Modul "geklont" haben, sollten es nochmal tun.
Es sollte auch reichen, die Datei action.default.php mit der aus dem neuen Release zu ersetzen und wieder alles was mit "news" zu tun hat in das geklonte Modul umzubenennen.

nockenfell · 26. Mai 2011 18:49

Mittlerweile gibt es auch eine neue Version von CGBlog:
http://dev.cmsmadesimple.org/project/files/649 (1.7.4)

Ist zwar nicht als Security Fix gekennzeichnet, aber...

nockenfell · 26. Mai 2011 18:51

Das Newsmodul braucht nach einem Update auf 1.9.4.2 eine Aktualisierung.
Erweiterungen -> Module und dort auf "aktualisieren" klicken bei News

Andynium · 27. Mai 2011 06:34

Hmm, bei mir nicht roll ...

nockenfell · 27. Mai 2011 06:56

nockenfell schrieb:

Das Newsmodul braucht nach einem Update auf 1.9.4.2 eine Aktualisierung.
Erweiterungen -> Module und dort auf "aktualisieren" klicken bei News

War ein Update von einer frischen 1.9.4.1er. Das Newsmodul war deaktiviert. Ev macht das ja was aus.

Andynium · 27. Mai 2011 06:58

Hmm, müsste man sich eigentlich mal genauer anschauen, was da im Status "Deaktiviert" passiert roll ...

redigo/ · 27. Mai 2011 08:36

cyberman schrieb:

Danke für die Info!

Dem schliesse ich mich sehr gerne an. ;-)
Gruss
redigo/

derAuge · 28. Mai 2011 08:56

HAllo zusammen

wenn ich das hier richtig verstehe, sollte mall alle Installationan auf den neusten Stand bringen um vor Überraschungen gefeit zu sein.

Gruß

der Auge

Andynium · 28. Mai 2011 09:16

Wenn du es richtig verstanden hättest, hättest du bereits gestern alle Installationen, auf denen das News-Modul eingesetzt wird, auf den aktuellsten Stand gebracht cool - für einen Böswilligen sind sämtliche CMSMS-Administrationen de facto ungeschützt.

derAuge · 28. Mai 2011 10:11

cyberman schrieb:

Wenn du es richtig verstanden hättest, hättest du bereits gestern alle Installationen, auf denen das News-Modul eingesetzt wird, auf den aktuellsten Stand gebracht - für einen Böswilligen sind sämtliche CMSMS-Administrationen de facto ungeschützt.

yikes

Du machst mir aber Mut ;-)

OK, werde mich dann mal an die arbeit machen.
Aber was meinst du mit "de facto ungeschützt"

Gibt es da noch was, was ich wissen sollte?

Gruß

derAuge

NaN · 28. Mai 2011 14:39

'de facto ungeschützt' bedeutet, dass sich ein Angreifer, der sich sowohl mit CMSms als auch mit diversen Angriffsszenarien auskennt, über das NewsModul Zugang zu Deiner Datenbank verschaffen kann. Damit kennt er unter anderem die Usernamen der Backenduser und die md5 Hashs der Passwörter. Sind es einfache Passwörter, die man mittels Rainbow-Tabellen entschlüsseln kann, hast Du ein Problem.
Sind es komplizierte Passwörter, dann könnte immer noch die Möglichkeit bestehen, dass der Angreifer sich selbst einen Useraccount in der Datenbank angelegt hat.
Wenn er dann im Backend unterwegs ist, kann er über den FileManager Zugang zu Deiner config.php erlangen, wenn diese nicht entsprechend gesichert ist. Außerdem kann er weiß Gott was hochladen, FrontEndUser Daten ausspionieren ... usw. usf.

Sicherheitslücke bedeutet Sicherheitslücke.
Mehr muss man da nicht wissen.

owr_web · 28. Mai 2011 20:59

eigentlich kann man die Antwort ganz kurz fassen big_smile

de facto = tatsächlich (aufgrund der Fakten, den Fakten nach, ...)

Andynium · 29. Mai 2011 09:55

Damit wird aber auch der Schutz des /admin-Verzeichnisses via .htaccess für JEDEN zum Pflichtprogramm!

http://de.selfhtml.org/servercgi/server … hnisschutz

Und logischerweise sollte die htaccess-Passwörter NICHT identisch sein mit denen aus der CMSMS-Administration wink ...

nockenfell · 29. Mai 2011 10:18

nockenfell schrieb:

nockenfell schrieb:
Das Newsmodul braucht nach einem Update auf 1.9.4.2 eine Aktualisierung.
Erweiterungen -> Module und dort auf "aktualisieren" klicken bei News
War ein Update von einer frischen 1.9.4.1er. Das Newsmodul war deaktiviert. Ev macht das ja was aus.

Gestern einen grossen Rutsch meiner Installationen aktualisiert. Scheint so, dass alle deaktivierten Module jeweils manuell aktualisiert werden müssen. Bei Updates von 1.8.2 gab es da gleich ein paar Module.

Forum für CMS/made simple

#1 26. Mai 2011 05:29

CMS Made Simple 1.9.4.2 veröffentlicht

#2 26. Mai 2011 06:36

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#3 26. Mai 2011 06:55

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#4 26. Mai 2011 07:17

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#5 26. Mai 2011 12:26

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#6 26. Mai 2011 13:30

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#7 26. Mai 2011 14:12

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#8 26. Mai 2011 14:26

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#9 26. Mai 2011 14:52

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#10 26. Mai 2011 15:13

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#11 26. Mai 2011 18:49

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#12 26. Mai 2011 18:51

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#13 27. Mai 2011 06:34

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#14 27. Mai 2011 06:56

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#15 27. Mai 2011 06:58

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#16 27. Mai 2011 08:36

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#17 28. Mai 2011 08:56

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#18 28. Mai 2011 09:16

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#19 28. Mai 2011 10:11

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#20 28. Mai 2011 14:39

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#21 28. Mai 2011 20:59

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#22 29. Mai 2011 09:55

Re: CMS Made Simple 1.9.4.2 veröffentlicht

#23 29. Mai 2011 10:18

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Fußzeile des Forums