ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
Sicherheitsupdate für ConPresso 4.0 und 4.1

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Ankündigungen
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
balu
ConPresso-Entwickler


Anmeldungsdatum: 01.01.1970
Beiträge: 1746

BeitragVerfasst am: 12.06.2012 14:11    Titel: Sicherheitsupdate für ConPresso 4.0 und 4.1 Antworten mit Zitat

Thomas Skora von INTEGRALIS hat im Rahmen eines Security-Audits einen Privilege Escalation Bug in ConPresso gefunden, der ein sofortiges Update erforderlich macht.

Wir haben neue Versionen im Support-Bereich veröffentlicht, die das Problem beheben.

Bitte aktualisiert die betroffenen Versionen von ConPresso möglichst bald. Betroffen sind alle Versionen vor 4.0.12 für CPO 4.0 bzw. 4.1.5 für CPO 4.1.

Die Änderungen im 4.1er Zweig im Detail:
  • Privilege escalation bug behoben (gefunden von Thomas Skora, INTEGRALIS)
  • Mögliches XSS korrigiert (gefunden von Thomas Skora, INTEGRALIS)
  • Maßnahmen gegen CSRF ergänzt (gefunden von Thomas Skora, INTEGRALIS)

  • Sortierung von Template-Platzhaltern korrigiert (gemeldet von MarkusR)
  • Icon-Tooltips für nicht installierte Module korrigiert (gemeldet von MarkusR)
  • "Passwort Reset" Mechanismus geändert, so dass ein Benutzer nicht mehr durch regelmässige Anfragen blockiert werden kann. (Hinweis von MarkusR)
  • Neue Systemeinstellung erlaubt die Angabe einer ID im Editor-<body> (Vorgeschlagen von MarkusR)
  • Probleme mit der Seitenaufteilung von mod_search korrigiert, wenn keine Seitentemplates genutzt werden. (gemeldet von MarkusR)
  • Session-ID aus der Homepage-Umleitung entfernt
  • Meldung beim Speichern von Rubrik-/Benutzerrechten ergänzt
  • Hinweis für Benutzer ergänzt, deren Testzeitraum abgelaufen ist
  • Falsche Einrückung in der Rubrikansicht korrigiert
  • Template-Handling für Templates, die in einer Rubrik nicht mehr erlaubt sind, geändert (gemeldet durch MarkusR)
  • Fehlerhafte Markierung der "ganz nach oben/unten" Icons für die Platzhaltersortierung korrigiert (gemeldet durch MarkusR)
  • Veraltetes CSS korrigiert, welches nur für den IE nötig war
  • Abarbeitung einer Schleife korrigiert, die einen Javascript Fehler erzeugte (gemeldet durch MarkusR)
  • Probleme mit CPO_BASEDIR behoben (gemeldet durch MarkusR)
  • Fehlende Übersetzungen ergänzt


Die Versionen 4.0.11 und 4.1.4 haben wir übersprungen, weil die schon gepackt waren, bevor die Sicherheitsprobleme gemeldet wurden.

Updates sind wie immer durch Anwendung der Patch-Dateien oder durch Austausch der geänderten Dateien möglich.

Update: Es gibt in der Version Probleme mit dem Templateeditor, die von MarkusR korrigiert wurden: http://community.conpresso.de/viewtopic.php?p=27094#27094 Wir werden ein neues Update bereitstellen, in dem dieser Fehler behoben wurde.

Balu

_________________
Bartels.Schöne
ConPresso Support & Development

 
Für dieses Posting bedanken sich die folgenden User: MarkusR, hscha, Mr. Magpie, djmugge
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Ankündigungen Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen