Sicherheitshinweis CVE-2014-4036 (Niedriges Risiko)
Kürzlich wurde ein Sicherheitshinweis (CVE) veröffentlicht, ohne das unser Projekt davor informiert wurde. Der Fehler wurde korrigiert und wir stehen kurz vor der Freigabe einer neuen Version, die Vorbereitungen laufen auf hochturen.
Low Risk Vulnerability
Die Sicherheitslücke hat ein geringes Risiko, da der Angriff ein ImpressCMS Konto voraussetzt um den Zugriff auf die Liste der Bilder im Bild-Manager zu erhalten.
Ein registrierter Benutzer könnte somit auf nicht erwünschte Bild-Kategorien zugreifen. Im Gegensatz und den Berichten aus dem NVD, ist es ohne Konto nicht möglich den Angriff durchzuführen.
Temporärer Patch
Webmaster die die Schwachstelle patchen wollen, bevor die offizielle neue Version kommt, können dies mit unserem bereitgestellten Patch tun. Es wird lediglich die ZIP Datei entpackt und per FTP hochgeladen.
- ImpressCMS 1.2.8 LTS (bevorstehend)
- ImpressCMS 1.3.x
Neue Version demnächst verfügbar
Eine neue Version, welche den Fix beinhaltet, steht vor der Tür und wird hier in den News wie immer veröffentlicht. Um sicher zu stellen, das der oben genannte Patch auch wirksam ist, haben wir diesen an einen Sicherheitsforscher übergeben mit dem wir seit einiger Zeit zusammen arbeiten.
Fokus auf Sicherheit bleibt
Sicherheit ist eines unserer großen Anliegen bei der Entwicklung und Pflege von ImpressCMS. Es ist auch einer der Gründe, weshalb unsere Partner und Kunden ImpressCMS wählen.
Jedes Mal, wenn eine Sicherheitslücke gefunden wird, erfahren wir etwas für die Zukunft. Dieser Vorfall hat uns aufgefordert, mehr Eigeninitiative bei der Suche nach Schwachstellenberichte auf Social Media zu suchen.
Einloggen oder Neu Anmelden zum Kommentieren.
|
|