Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 26. Mai 2011 05:29

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.814
Webseite

CMS Made Simple 1.9.4.2 veröffentlicht

Heute möchten wir ein wichtiges Sicherheitsupdate ankündigen welches eine Sicherheitslücke in allen CMS Made Simple Versionen schliesst.

Heute wurde das Dev Team über eine Sicherheitslücke in unserer Software informiert. Anscheinend ist das Newsmodul in allen Versionen offen für eine SQL Injection Attacke welche es ermöglicht, sämtliche hash's aller Passwörter der Administrator-Benutzer auszulesen. Dies ermöglicht den Hackern Administratorenzugang zur Webseite zu erlangen, wenn die Hashes mittel Rainbow-Tabelle verifiziert werden können.

Wir haben CMS Made Simple 1.9.4.2 veröffentlich mit Fixes im Newsmodul um die Sicherheitslücke zu schliessen. Wir ermuntern alle Benutzer, sobald wie möglich ihre Webseite zu aktualisieren. Zusätzlich haben wir einen Patch für die 1.6er Serie von CMS Made Simple veröffentlicht. CMS Made Simple 1.6.10 ist für die Nutzer gedacht, welche noch immer PHP4 einsetzen.

Beide Versionen von CMS Made Simple können von unserer Webseite heruntergeladen werden.

Ab jetzt wird nur noch CMS Made Simple 1.9.3 und neuer vom Dev-Team unterstützt. Bitte versichere dich, dass du ein Upgrade auf die letzte Version von CMS Made Simple gemacht hast, bevor du um Support beim Dev-Team anfragst.

Erneut möchten wir uns für eure Unterstützung bedanken und fordern dich auf, sobald wie möglich auf CMS Made Simple 1.9.4.2 zu aktualisieren.

Zum Original-Artikel: http://www.cmsmadesimple.org/2011/05/CMSMS-1-9-4-2

Zum Download: http://www.cmsmadesimple.org/downloads/


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#2 26. Mai 2011 06:36

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Danke für die Info!

nockenfell schrieb:

Anscheinend ist das Newsmodul in allen Versionen offen für eine SQL Injection Attacke welche es ermöglicht, sämtliche hash's aller Passwörter der Administrator-Benutzer auszulesen.

Es wäre nur mal spannend / wichtig zu wissen, ob davon auch die Module betroffen sind, die auf dem News-Modul basieren ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#3 26. Mai 2011 06:55

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.814
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

cyberman schrieb:

Es wäre nur mal spannend / wichtig zu wissen, ob davon auch die Module betroffen sind, die auf dem News-Modul basieren ...

Dazu müsste man näheres zur Lücke wissen. Eine SQL Injection kann relativ einfach verhindert werden, wenn mysqli genutzt wird. Keine Ahnung wie gut dies hier abgesichert ist.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#4 26. Mai 2011 07:17

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

nockenfell schrieb:

wenn mysqli genutzt wird.

Ist auch so so ein Thema  roll ... meines Wissens wird dies weder von CMSMS selbst noch von einem Modul genutzt. Insoweit ist das Laden der entsprechenden Erweiterung in der adodb.functions.php relativ zweckfrei und eher eine Performance-Bremse.

$dbinstance =& ADONewConnection($config['dbms'], 'pear:date:extend:transaction');


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#5 26. Mai 2011 12:26

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

cyberman schrieb:

Es wäre nur mal spannend / wichtig zu wissen, ob davon auch die Module betroffen sind, die auf dem News-Modul basieren ...

Hab es mir mal testhalber CGBlog 1.72 angesehen - enthält den gleichen Problem-Code wie das News-Modul  hmm  ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#6 26. Mai 2011 13:30

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.160

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Also die Sicherheitslücke betrifft doch nur drei Zeilen in der action.default.php.
Und diese drei Zeilen kann ich im CGBlog nicht finden.
Wo genau hast Du da nachgeschaut?

Offline

#7 26. Mai 2011 14:12

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Vergleich mal News 2.11.3, action.default.php, Zeile 141 und CGBlog 1.7.2, action.default.php, Zeile 243 wink.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#8 26. Mai 2011 14:26

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.160

Re: CMS Made Simple 1.9.4.2 veröffentlicht

DIFF-Viewer sind alle Mist.
Wenn man nicht alles selber prüft  lol
Danke.
Hatte schon gehofft, das Update betrifft mich nicht, weil ich kein News verwende.

Offline

#9 26. Mai 2011 14:52

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Kann mich da nicht beklagen - komme hier mit Beyond Compare 3 ganz gut zurecht cool ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#10 26. Mai 2011 15:13

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.160

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Leider nicht für Mac sad

Alle die, die das News-Modul "geklont" haben, sollten es nochmal tun.
Es sollte auch reichen, die Datei action.default.php mit der aus dem neuen Release zu ersetzen und wieder alles was mit "news" zu tun hat in das geklonte Modul umzubenennen.

Offline

#11 26. Mai 2011 18:49

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.814
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Mittlerweile gibt es auch eine neue Version von CGBlog:
http://dev.cmsmadesimple.org/project/files/649 (1.7.4)

Ist zwar nicht als Security Fix gekennzeichnet, aber...


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#12 26. Mai 2011 18:51

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.814
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Das Newsmodul braucht nach einem Update auf 1.9.4.2 eine Aktualisierung.
Erweiterungen -> Module und dort auf "aktualisieren" klicken bei News


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#13 27. Mai 2011 06:34

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Hmm, bei mir nicht  roll ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#14 27. Mai 2011 06:56

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.814
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

nockenfell schrieb:

Das Newsmodul braucht nach einem Update auf 1.9.4.2 eine Aktualisierung.
Erweiterungen -> Module und dort auf "aktualisieren" klicken bei News

War ein Update von einer frischen 1.9.4.1er. Das Newsmodul war deaktiviert. Ev macht das ja was aus.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#15 27. Mai 2011 06:58

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Hmm, müsste man sich eigentlich mal genauer anschauen, was da im Status "Deaktiviert" passiert roll ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#16 27. Mai 2011 08:36

redigo/
Server-Pate
Ort: Zürich
Registriert: 20. Januar 2011
Beiträge: 485
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

cyberman schrieb:

Danke für die Info!

Dem schliesse ich mich sehr gerne an. ;-)
Gruss
redigo/

Offline

#17 28. Mai 2011 08:56

derAuge
probiert CMS/ms aus
Ort: Münsterland
Registriert: 25. Januar 2011
Beiträge: 24

Re: CMS Made Simple 1.9.4.2 veröffentlicht

HAllo zusammen

wenn ich das hier richtig verstehe, sollte mall alle Installationan auf den neusten Stand bringen um vor Überraschungen gefeit zu sein.

Gruß

der Auge

Offline

#18 28. Mai 2011 09:16

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Wenn du es richtig verstanden hättest, hättest du bereits gestern alle Installationen, auf denen das News-Modul eingesetzt wird, auf den aktuellsten Stand gebracht cool - für einen Böswilligen sind sämtliche CMSMS-Administrationen de facto ungeschützt.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#19 28. Mai 2011 10:11

derAuge
probiert CMS/ms aus
Ort: Münsterland
Registriert: 25. Januar 2011
Beiträge: 24

Re: CMS Made Simple 1.9.4.2 veröffentlicht

cyberman schrieb:

Wenn du es richtig verstanden hättest, hättest du bereits gestern alle Installationen, auf denen das News-Modul eingesetzt wird, auf den aktuellsten Stand gebracht cool - für einen Böswilligen sind sämtliche CMSMS-Administrationen de facto ungeschützt.

yikes


Du machst mir aber Mut ;-)

OK, werde mich dann mal an die arbeit machen.
Aber was meinst du mit "de facto ungeschützt"

Gibt es da noch was, was ich wissen sollte?

Gruß

derAuge

Offline

#20 28. Mai 2011 14:39

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.160

Re: CMS Made Simple 1.9.4.2 veröffentlicht

'de facto ungeschützt' bedeutet, dass sich ein Angreifer, der sich sowohl mit CMSms als auch mit diversen Angriffsszenarien auskennt, über das NewsModul Zugang zu Deiner Datenbank verschaffen kann. Damit kennt er unter anderem die Usernamen der Backenduser und die md5 Hashs der Passwörter. Sind es einfache Passwörter, die man mittels Rainbow-Tabellen entschlüsseln kann, hast Du ein Problem.
Sind es komplizierte Passwörter, dann könnte immer noch die Möglichkeit bestehen, dass der Angreifer sich selbst einen Useraccount in der Datenbank angelegt hat.
Wenn er dann im Backend unterwegs ist, kann er über den FileManager Zugang zu Deiner config.php erlangen, wenn diese nicht entsprechend gesichert ist. Außerdem kann er weiß Gott was hochladen, FrontEndUser Daten ausspionieren ... usw. usf.

Sicherheitslücke bedeutet Sicherheitslücke.
Mehr muss man da nicht wissen.

Offline

#21 28. Mai 2011 20:59

owr_web
Server-Pate
Registriert: 16. Dezember 2010
Beiträge: 537

Re: CMS Made Simple 1.9.4.2 veröffentlicht

eigentlich kann man die Antwort ganz kurz fassen  big_smile

de facto = tatsächlich (aufgrund der Fakten, den Fakten nach, ...)

Offline

#22 29. Mai 2011 09:55

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

Damit wird aber auch der Schutz des /admin-Verzeichnisses via .htaccess für JEDEN zum Pflichtprogramm!

http://de.selfhtml.org/servercgi/server … hnisschutz

Und logischerweise sollte die htaccess-Passwörter NICHT identisch sein mit denen aus der CMSMS-Administration wink ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#23 29. Mai 2011 10:18

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.814
Webseite

Re: CMS Made Simple 1.9.4.2 veröffentlicht

nockenfell schrieb:
nockenfell schrieb:

Das Newsmodul braucht nach einem Update auf 1.9.4.2 eine Aktualisierung.
Erweiterungen -> Module und dort auf "aktualisieren" klicken bei News

War ein Update von einer frischen 1.9.4.1er. Das Newsmodul war deaktiviert. Ev macht das ja was aus.

Gestern einen grossen Rutsch meiner Installationen aktualisiert. Scheint so, dass alle deaktivierten Module jeweils manuell aktualisiert werden müssen. Bei Updates von 1.8.2 gab es da gleich ein paar Module.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline