Sicherheitsupdate für ConPresso 4.0 und 4.1

Ankündigungen und wichtige Informationen für die ConPresso-Community (read only)
Antworten
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Sicherheitsupdate für ConPresso 4.0 und 4.1

Beitrag von balu »

Thomas Skora von INTEGRALIS hat im Rahmen eines Security-Audits einen Privilege Escalation Bug in ConPresso gefunden, der ein sofortiges Update erforderlich macht.

Wir haben neue Versionen im Support-Bereich veröffentlicht, die das Problem beheben.

Bitte aktualisiert die betroffenen Versionen von ConPresso möglichst bald. Betroffen sind alle Versionen vor 4.0.12 für CPO 4.0 bzw. 4.1.5 für CPO 4.1.

Die Änderungen im 4.1er Zweig im Detail:
  • Privilege escalation bug behoben (gefunden von Thomas Skora, INTEGRALIS)
  • Mögliches XSS korrigiert (gefunden von Thomas Skora, INTEGRALIS)
  • Maßnahmen gegen CSRF ergänzt (gefunden von Thomas Skora, INTEGRALIS)
  • Sortierung von Template-Platzhaltern korrigiert (gemeldet von MarkusR)
  • Icon-Tooltips für nicht installierte Module korrigiert (gemeldet von MarkusR)
  • "Passwort Reset" Mechanismus geändert, so dass ein Benutzer nicht mehr durch regelmässige Anfragen blockiert werden kann. (Hinweis von MarkusR)
  • Neue Systemeinstellung erlaubt die Angabe einer ID im Editor-<body> (Vorgeschlagen von MarkusR)
  • Probleme mit der Seitenaufteilung von mod_search korrigiert, wenn keine Seitentemplates genutzt werden. (gemeldet von MarkusR)
  • Session-ID aus der Homepage-Umleitung entfernt
  • Meldung beim Speichern von Rubrik-/Benutzerrechten ergänzt
  • Hinweis für Benutzer ergänzt, deren Testzeitraum abgelaufen ist
  • Falsche Einrückung in der Rubrikansicht korrigiert
  • Template-Handling für Templates, die in einer Rubrik nicht mehr erlaubt sind, geändert (gemeldet durch MarkusR)
  • Fehlerhafte Markierung der "ganz nach oben/unten" Icons für die Platzhaltersortierung korrigiert (gemeldet durch MarkusR)
  • Veraltetes CSS korrigiert, welches nur für den IE nötig war
  • Abarbeitung einer Schleife korrigiert, die einen Javascript Fehler erzeugte (gemeldet durch MarkusR)
  • Probleme mit CPO_BASEDIR behoben (gemeldet durch MarkusR)
  • Fehlende Übersetzungen ergänzt
Die Versionen 4.0.11 und 4.1.4 haben wir übersprungen, weil die schon gepackt waren, bevor die Sicherheitsprobleme gemeldet wurden.

Updates sind wie immer durch Anwendung der Patch-Dateien oder durch Austausch der geänderten Dateien möglich.

Update: Es gibt in der Version Probleme mit dem Templateeditor, die von MarkusR korrigiert wurden: http://community.conpresso.de/viewtopic ... 7094#27094 Wir werden ein neues Update bereitstellen, in dem dieser Fehler behoben wurde.

Balu
Bartels.Schöne
ConPresso Support & Development
Antworten