Gbit es eine Sicherheitslücke im Kontaktformular?

[gba]

Hallo,

mich hat jemand angeschrieben, dass es in unserem Kontaktformular eine Sicherheitslücke gäbe.
Ist da etwas bekannt? Der hat mich etwas verunsichert.

Wir benutzen WB 2.12.1 und das Form-Modul.

[evaki]

Warum benennt er die Sicherheitslücke nicht - hat der was geraucht?
Und was heißt "in unserem Kontaktformular", mal 'ne Adresse nennen?

Hab' auch schon gehört, daß die Russen bald vor der Türe stehen - ah -nee, das war ja Oma 
MfG. Evaki

[dbs]

Hat derjenige denn auch Hilfe angeboten oder nähere Einzelheiten mitgeteilt?
Ohne die Seite zu sehen wird es schwierig.

[evaki]

Nun mal Quatsch beiseite.
Gibt es dazu ein Ereignis? Irgendein Verhalten muß ihn doch dazu bewogen haben, eine derartige Aussage zu machen. Ein Link zur Seite wäre hilfreich - mehr als das.
MfG. Evaki


Nachtrag:

gba: und daher vorsorglich mal nachgefragt.

Mit einem Link wäre das schnell zu klären.

hier raucht hoffentlich niemand bewußtseinsveränder nde Sachen.

Na, manch einem könnte es helfen 

[gba]

Leute, hier raucht hoffentlich niemand bewußtseinsveränder nde Sachen.

Ich habe mit ihm Kontakt aufgenommen, aber er hat nur geschrieben "Die kritische Sicherheitslücke in Ihrem Kontaktformular ist Ihnen sicherlich bereits bekannt, auf diese können wir bei Bedarf näher eingehen."
Die Lücke ist mir nicht bekannt, aber ich werde ihn danach fragen.
Vorab habe ich hier im Forum gesucht, nichts gefunden und daher vorsorglich mal nachgefragt.

[dbs]

Danke für die Info. Klingt für mich nun eher nach Arbeitsbeschaffungs maßnahme, ohne dass es etwas zu beheben gäbe.
Sei besser vorsichtig.

Wenn die Keywords "Zugang" oder "Euro" fallen:  Lauf!

[Martin Hecht]

ich vermute dass der Webseitenbetreiber mit ein paar dubiosen Andeutungen dazu bewogen werden soll die Login-Credentials preiszugeben. Im nächsten Schritt wird damit dann die Webseite übernommen und ein Lösegeld gefordert. Da nicht genauer beschrieben wird um was für eine Lücke es sich handelt, kann die erste Email pauschal an alle webmaster@irgendeine-domain geschickt werden. Wer darauf antwortet, kommt in die engere Wahl...

Ich wäre daher in einem solchen Fall weiterhin äußerst vorsichtig damit, irgendwelche Email-Anhänge zu öffnen oder auf Links in den Emails zu klicken, wenn der angebliche Hinweisgeber nicht konkret im Emailtext angeben kann, bei welchem Formular welche Eingaben genau ein Sicherheitsproblem darstellen sollen. Und schon gar nicht Admin-Passwort für eine angebliche kostenlose Reparaturaktion herausrücken. Per PM hier im Forum an die Core-Entwickler ja, aber nicht per mail an irgendeine Adresse, von der man nicht weiß wer da überhaupt dahinter steht.

Übrigens: Dass du dich hier bei den WB-Entwicklern rückversucherst, ob in der Richtung irgendwas bekannt ist, ist genau das richtige was du tun kannst.

[Luisehahne]

Bekomme ich in Massen jeden Tag. Auf sowas reagiere ich gewöhnlich garnicht. Wir als Entwickler nehmen solche Meldungen immer ernst. Eine zuverlässige Quelle zum nachschauen lautet https://www.cvedetails.com/product/30441/WebsiteBaker-WebsiteBaker.html?vendor_id=14999.

Desweiteren bekommen wir sofort eine detaillierte Mitteilung mit Aufforderung die Sicherheitslücke zu schliessen. Auch evaki ist so nett  und checkt uns regelmäßig das Frontend auf Sicherheitslücken.

Dietmar

[DarkViper]

Eine kleine aber wichtige Bemerkung muss ich da noch ergänzen:

Die Hinweise, die wir von CVE und anderen Organisationen bekommen, betreffen ausschließlich das von uns selbst verteilte Installationspaket von WebsiteBaker !!

Diese Hinweise umfassen jedoch NICHT Zusatzmodule etc. aus irgendwelchen anderen Quellen!! (Ausnahmen bestätigen die Regel)

(damit sind alle möglichen Module gemeint, die nicht von uns explizit geprüft und freigegeben sind. Und auch nicht auf unseren Seiten angeboten werden.)
unsere Downloadquellen sind ausschließlich:

https://addon.WebsiteBaker.org/ (hier unbedingt eventuell vorhandene Sicherheitshinweise beachten!)
https://wiki.WebsiteBaker.org/doku.php/downloads

Manuela

[gba]

Status-Update:
Ich habe dem Kritiker am 2. Juli eine Mail geschickt, in der ich nach dem Sicherheitsleck gefragt habe. Darauf habe ich bis jetzt keine Antwort bekommen.
Es war wohl eine Behauptung zur Verunsicherung. Er meinte schließlich auch, dass wir ein CMS einsetzen sollten. Mein Einwand, dass ein CMS benutzt wird könnte ihn demotiviert haben.

[gba]

Noch eine Sache in diesem Zusammenhang:

Bei meinen Experimenten mit dem Form-Modul habe ich auch HTML-Inhalte getestet. Die scheinen - sinnvollerweise - geprüft und bei Bedarf gekürzt zu werden.
Was genau wird da entfernt?

[jacobi22]

Anfragen dieser Art von verunsicherten Usern bekomm ich wöchentlich, oft verbunden mit einer speziellen "Empfehlung" oder einem Hilfsangebot, diese Systemumstellung gleich und oft auch kostenfrei zu übernehmen.
Du kannst dir aber sicher sein, das hier mehr als nur die Entwickler drauf schauen. Neben den erbetenen Sicherheitschecks gibt es auch noch unabhängige Kontrollinstanzen und Leute, die, egal mit welchen Intentionen, jede Zeile Code auseinandernehmen.
Wie oben gesagt: wichtig sind die Quellen und wichtig ist auch die jeweils aktuellste Version.
Wenn ein Provider noch eine WB 2.10.0 als Vorinstallation anbietet, sollte man die Finger davon lassen und das Paket selbst installieren.