Mit der heute veröffentlichten CMS/ms-Version wurde eine weitere Sicherheitslücke geschlossen.
Unter besonderen Umständen konnte der HTTP_HOST Header manipuliert werden, was unter anderem zur Folge hatte, dass alle Links einer Webseite auf eine andere Domain verwiesen haben.
Dies ist nun nicht mehr ohne weiteres möglich. Für die meisten CMS/ms-Nutzer haben die Code-Änderungen jedoch keinerlei Auswirkungen. Lediglich dann, wenn über mehrere Domains auf ein und dieselbe CMS/ms-Installation zugegriffen wird, sind ein paar wenige Änderungen erforderlich.
So wurde eine neue Konfigurationsvariable "host_whitelist" eingeführt. In dieser Variablen können all diejenigen Hosts aufgeführt werden, über die auf die CMS/ms-Installation zugegriffen werden darf. Dies betrifft insbesondere die Installationen, die im Multi-Site-Betrieb genutzt werden. Falls Sie davon betroffen sind, finden Sie zu diesem Thema in der Datei config_reference.pdf im /doc Verzeichnis weitere Informationen.
Natürlich ist neben ein paar weiteren Fehlerkorrekturen im Archiv auch das am 30.01.2016 aktualisierte CMSMailer-Modul enthalten.
Wie auch bei jeder anderen geschlossenen Sicherheitslücke sollten Sie Ihre Installation schnellstmöglich aktualisieren.
© Copyright 2006-2024 by Andreas Just