ImpressCMS Entwickler warnen vor kritischen Lücken

veröffentlicht am 31 January 2014 durch sato-san (464 gelesen)

Multiple vulnerabilities in ImpressCMS Durch kritische Sicherheitslücken im quelloffenen Content Management System von ImpressCMS können Angreifer unter Umständen beliebige Dateien auf dem Server löschen. Es wurden auch zwei Cross-Site-Scripting-Lücken gefunden. Betroffen sind alle Version bis einschließlich 1.3.5 - die neue gepatchte Version 1.3.6 verhindert dies. Die Schwachstellen wurden noch nicht aktiv ausgenutzt, aber es wird dringend ein Update empfohlen.

 

Sicherheitslücken sind im ImpressCMS eher sehr selten und der Protector sowie der HTMLPurifier schützen das Core optimal ab. Der Sicherheitsberater Pedro Ribeiro () von Agile Information Security Ltd. hat uns auf diese Lücken aufmerksam gemacht.

 

Thank you for sending this, it seems all correct now. I will wait until you release a new version and then request a CVE number.

The way I found ImpressCMS was simply by putting "PHP CMS" in Google and going through most of the first pages :) I have been reviewing lots of PHP CMS for security vulnerabilities. Although I'm a definite open source lover, the reason I am doing this is not altogether altruist as I'm looking to beef up my CV by finding vulnerabilities. My day job is doing code review and penetration testing, so any public acknowledgement and/or CVE number attributed to me increases my reputation and market value.

I have nothing but praise for you, as you've been the most helpful, understanding and responsive! There are some PHP CMS which have remote code execution flaws, and the developers told me straight up that they are not interest in fixing it... Be certain that if somebody asks my opinion for the best PHP CMS from a security perspective, I will say ImpressCMS.

I did a thorough review of the code and couldn't find any more major flaws. Not to say that they not might be there, but I find most open source software is of higher quality than closed source.

Die Sicherheitslücken wurden geschlossen ein Update wird empfohlen!!!!

Es stehen verschiedene Downloads zur Verfügung. Es gibt beispielsweise die Vollversion 1.3.6 in deutscher Sprache. Eine Multilanguage Version 1.3.6 deutschen-, japanischen- und englischen Sprachdateien. Ein Update ab ImpressCMS 1.0 ist auch möglich, das Update wird demnächst angeboten.

Da auch die 1.2 Serie von den Sicherheitlücken betroffen ist, wurde die Version 1.2.8 LTS veröffentlicht. Bei der Gelegenheit empfiehlt es sich darüber nachzudenken auf Version 1.3 zu gehen, da der Support für 1.2 bald zu Ende sein wird.


Einloggen oder Neu Anmelden zum Kommentieren.