Author Topic: Discussion about WB-2.11.0 RC1 - Public release test  (Read 7591 times)

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 544
  • Gender: Male
    • meine Homepage
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #25 on: January 15, 2018, 11:16:54 PM »
zum Thema SIcherheitsproblem hilft es vielleicht, wenn jemand, der mehr Details kennt, diese hier auch preisgibt. Der Beschreibung nach soll das Problem in der Medienverwaltung liegen. Wenn man sich die Änderungen zwischen 2.10 und 2.11 rc1 anschaut, dann wird dort neuerdings verhindert, dass man beim Umbenennen von Dateien (über Sonderzeichen im Dateinamen) die Ausführung von Droplets triggert.

Ist das ein gewichtiger Angriffsvektor? Wohl eher nicht, da man Backendzugang braucht und dann wahrscheinlich auch auf irgend einer WYSIWYG-Seite Droplets nutzen kann.

Hochgeladene Dateitypen werden weiter eingeschränkt als bisher, doch schon lange gibt es ein Blacklisting von gefährlichen Dateitypen. Künftig kann man ohne Änderung am Core nur noch Bilddateien hochladen. pdfs, doc, docx, usw. sind dann tabu. Das ist vielleicht etwas zu restriktiv, oder? ;-)

Hab ich überdies was übersehen?? Wenn nicht, dann ist das hier zu viel Wind um ein Sicherheitsproblem, das nur in sehr exotischen Fällen wirklich relevant ist.

short English summary: It woudl be good to learn a few details about the security issue. To the extend that I can see from comparing the media management between 2.10 an 2.11 the only security relevant changes are the restriction that Droplet execution will be suppressed in the file names (most users can use droplets inside a wysiwyg section somewhere anyway, right?) and in addition to file type blacklisting a very (too much?) restrictive whitelist is introduced.

Offline evaki

  • Posts: 2223
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #26 on: January 15, 2018, 11:57:02 PM »
>>pdfs, doc, docx, usw. sind dann tabu.
Für Redaktionen -und auch barrierefreie Auftritte- unannehmbar, zusätzliche offene Standards sind außerdem wünschenswert zugelassen zu werden. Da haben wir ja auch noch video, Audio und Daisy und, und... -kann ich mir irgendwie nicht vorstellen, ein Mißverständnis?

>>viel Wind
Sicherlich. Es sind ja nur die Mitarbeiter, die so 'nen Unsinn anstellen  :-D :-D :-D
Die "Windows-PHP-Geschichte" ist wohl reproduzierbar, und soll noch geändert werden, falls wirklich zutreffend (eben nicht nur bei mir  8-) ).

MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 544
  • Gender: Male
    • meine Homepage
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #27 on: January 16, 2018, 09:28:10 PM »
sorry, ich muss mich korrigieren: Das Whitelisting der Dateitypen greift nur für die Größenanpassung von Bildern. Da macht es selbstverständlich Sinn, sich auf Bilddateien zu beschränken. Danke an Luisehahne für die Klarstellung via PM.

Offline evaki

  • Posts: 2223
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #28 on: January 18, 2018, 10:07:07 AM »
Bevor die "Discussion" versandet, ein Vorschlag. Mehrere Leute besorgen sich z.B. N-Stalker Free Edition, und testen (unter Win/Lin/!). Die Softw. hat u.a. ein Feld für die "Authentication", was auch die Prüfung im BE möglich macht. Wenn mehrere Tester Ergebnisse vergleichen, bringt das möglicherweise mehr Erkenntnisse, als wenn ein einzelner im Erker Erkenntnisse sucht.

MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2223
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #29 on: January 18, 2018, 10:27:00 PM »
Heute gabs ein Update des Flaggschiffs, den "Netscanner".
Da wird nun auch auf CSP und X-XSS-Protection -mittlerweile bekannt- und ein weiterer "The Referrer Policy header" geprüft, den ich noch garnicht kannte.
Jedenfalls rät "ER" dazu -auch ohne im BE zu sein, einige wenige Dateien entsprechend zu ergänzen. (aber man muß nicht...)
MfG. Evaki
« Last Edit: January 18, 2018, 10:38:42 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline masju

  • Posts: 110
  • Gender: Male
Sicherheitslücke?
« Reply #30 on: January 26, 2018, 01:10:06 PM »
Hallo zusammen, habe gerade in den Release-Notes für die 2.11.0 RC1 gelesen:

Quote
Fatal vulnerability in the media management
Probably the most important fix and reason enough to upgrade to 2.11.0,
is a fatal vulnerability in the media management where an attacker is able to clear the entire WebsiteBaker installation.

Betrifft das auch die 2.10?
Wenn ja: Gibt es einen Sicherheits-Patch, bis die neue Version nicht mehr RC-Status hat?

Viele Grüße,
masju

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #31 on: January 26, 2018, 01:14:24 PM »
Habe die Themen jetzt geteilt

wer mag, hier gehts weiter -> Discussion about WB-2.11.0
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline evaki

  • Posts: 2223
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #32 on: January 26, 2018, 01:31:35 PM »
Danke schön  (Y)

Ach ja, es wird schon wieder fleißig gescannt  8-)

MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitslücke?
« Reply #33 on: January 26, 2018, 02:52:36 PM »
Es ist m.E. keine Sicherheitslücke im Sinne einer Angreifbarkeit, aber urteilt selber:

Es besteht bei allen Vorgängerversionen die theoretische Möglichkeit, das der SuperAdmin und auch nur der SuperAdmin in der WB-Mediaverwaltung eine Etage höher in das Root-Verzeichnis von WB gelangen kann und dort über die Medienverwaltung Systemordner umbenennen oder auch löschen könnte.

Es besteht nach aktuellem Kenntnisstand und diversen Sicherheitstests keine Möglichkeit, das ein registrierter User oder gar ein Außenstehender Zugriff auf diese Funktion oder diese Ordner bekommt.

Nun die Frage: ist der SuperAdmin eine Bedrohung oder nicht? Ich meine NEIN, andererseits sollte es diese Möglichkeit in der Medienverwaltung definitiv nicht geben, d.h. in der WB 2.11 wird dieses Problem gefixt sein.
In der Ankündigung steht man dann vor dem Problem, wie man es ausdrücken soll. Das Löschen eines Systemordners führt natürlich zu einem Fatal Error und wäre in dem Sinne eine Bedrohung für das CMS.

zum Reparatur-Fix:
Auf Grund der Sicherheitswarnung hier -> Warning: SQL Injection vulnerability haben wir uns entschlossen, den Fix nur für die WB 2.10.x anzubieten und keine älteren WB-Versionen mehr zu unterstützen.
Zur Erinnerung und um Mißverständnisse auszuschließen: die WB 2.11 hat diese Lösung schon eingebaut.
Da das Problem ausschließlich den SuperAdmin betrifft, der eh alle Rechte besitzt, bestand nicht wirklich ein Dringlichkeitsprobl em. Wir schauen, das wir das heute noch raus gegeben können.

P.S.: ich werde diese beiden Beiträge mit dem Thema zum RC-Test zusammenführen


Translated with www.DeepL.com/Translator

It is not a vulnerability in the sense of vulnerability, but judges itself:

For all previous versions, there is the theoretical possibility that the SuperAdmin and only the SuperAdmin in the WB media management can get one floor higher into the root directory of WB and could rename or delete system folders there via the media management.

According to the current state of knowledge and various security tests, there is no possibility of a registered user or even an outsider gaining access to this function or these folders.

Now the question: is the SuperAdmin a threat or not? I mean NO, on the other hand this possibility should definitely not exist in the media management, i. e. in WB 2.11 this problem will be fixed.
In the announcement you are faced with the problem of how to express it. Deleting a system folder leads to a fatal error and would be a threat to the CMS.

to the repair fix:
Due to the security warning here -> Warning: SQL Injection vulnerability we decided to offer the fix only for WB 2.10. x and not to support older WB versions.
As a reminder and to avoid misunderstandings: the WB 2.11 has already implemented this solution.
Since the problem only concerns the SuperAdmin, who has all rights, there was not really an urgency problem.
We'll see if we can get that out today with this fix

P. S.: I will combine these two contributions with the topic of RC-Test

« Last Edit: January 26, 2018, 03:14:35 PM by jacobi22 »
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline evaki

  • Posts: 2223
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #34 on: January 26, 2018, 10:10:04 PM »
>>der SuperAdmin und auch nur der SuperAdmin in der WB-Mediaverwaltung eine Etage höher in das Root-Verzeichnis von WB gelangen kann
Der Witz ist ja, daß wir in älteren WB-Versionen Module hatten, die den "Spaziergang" problemlos ermöglichten. Es galt halt sehr lange: "Der Mörder ist immer der Gärtner."
Warum die Wortwahl bei dieser aus meiner Sicht "Unsicherheitsmeldun g"  nun so, ich sag mal,  ungeschickt ausgefallen ist...  :roll:

Andere Möglichkeiten, wie die vollkommen unabhängig vom Userstatus  ausführbaren SQL-Injektionen,, sind m.E. eine viel gemeinere Hintertür, weil sie sich nicht so leicht aufspüren lassen, und damit u.U. auch nicht sofort die Ursache  bzw. der Verursacher feststeht. Hierüber aber wird aus sinnvollem Grund geschwiegen.

MfG. Evaki
« Last Edit: January 26, 2018, 10:15:37 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline Ruud

  • Posts: 3640
  • Gender: Male
  • Do not use PM for help! Please use the forum!
    • Dev4Me - Professional WebsiteBaker Development
Re: Sicherheitslücke?
« Reply #35 on: January 26, 2018, 11:13:40 PM »
>>der SuperAdmin und auch nur der SuperAdmin in der WB-Mediaverwaltung eine Etage höher in das Root-Verzeichnis von WB gelangen kann

Any loggedin user that is allowed to add/upgrade modules, create/modify droplets, or use the code(2) modules in pages can do anything he likes. This is nothing special. It is the same for (almost) every CMS.
The superadmin always has these permissions.

The best solutions for a safe WB:

1. use really strong passwords (and don't use 'admin' as administrator login)
2. limit permissions for any user (except superadmin) to the absolute minimum he needs.
3. rename the admin directory and change the setting in config.php. (makes upgrading a bit more difficult :-()
4. ip-address protection of admin area

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8364
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #36 on: January 27, 2018, 12:03:44 PM »
Hello,

find another thing which should be modified. If you use Captcha calc_text, the signs in the image are hardcoded to color black.

create_calc_text.ph p Line 14
Code: [Select]
$textcolor = ImageColorAllocate ($image, 0, 0, 0);
If you us a black backround in your frontend template the captcha isn't readable. Would be nice to have a switch between the color black or white. Best solution would be to have a field in Admin-Tools Captcha where you can define the color of the captcha.

Matthias

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #37 on: January 27, 2018, 12:50:25 PM »
i think, that's a good idea.  (Y)
i've never test it with a dark or black background, but wondering, that nobody has this problem before   :oops:
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline crnogorac081

  • Posts: 1879
  • Gender: Male
Re: Sicherheitslücke?
« Reply #38 on: January 27, 2018, 08:56:16 PM »

It is not a vulnerability in the sense of vulnerability, but judges itself:

For all previous versions, there is the theoretical possibility that the SuperAdmin and only the SuperAdmin in the WB media management can get one floor higher into the root directory of WB and could rename or delete system folders there via the media management.


We are talking about SuperAdmin here, the same guy who (in 99.9% cases) is the same guy who has access to database and hosting provider (web disk files).. So he doesnt need WB permissions if he wants to mess up files or database..
no bb in signature

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #39 on: January 28, 2018, 12:20:14 AM »
Quote
We are talking about SuperAdmin here

not WE, you  :wink:

i talk about a error in media administration with the possibility, to delete maybe a systemfolder.
the media administration display only media-files & folders inside of media, not folder in wb-root
« Last Edit: January 28, 2018, 01:13:36 AM by jacobi22 »
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline sky writer

  • Posts: 926
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #40 on: January 28, 2018, 05:19:32 AM »
Testing WB 2.11.0 RC1 locally on WB Portable

I upgraded a 2.10.0 site to 2.11.0 RC1 and the "backup" icon and functionality is gone from the CKeditor window.

I see "backup" was moved to "config.removePlugin s" in \modules\ckeditor\wb_config\wb_ckconfig.js
Code: [Select]
config.removePlugin s  = 'link'
/*                     + ',alphamanager' */
                      + ',backup'

but I have it set in \templates\mysite\editor\wb_ckconfig.js
Code: [Select]
//config.extraPlugins = 'timestamp';
    config.extraPlugins  = 'justify,find,flash,colorbutton,colordialog,dialogadvtab,'
                         + 'div,font,forms,iframe,indentblock,language,bidi,liststyle,pagebreak,save,'
                         + 'selectall,showblocks,smiley,templates,codemirror,autogrow,'
                         + 'wblink,wbdroplets,youtube,oembed,backup,wbsave,wbrelation,wbabout';

Has something changed in the new version of CKeditor which needs a different fix in my template wb_ckconfig.js file to make the "backup" appear and work?

Here is what it looks like in 2.10.0:
https://forum.WebsiteBaker.org/index.php/topic,29143.msg204536.html#msg204536

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #41 on: January 28, 2018, 11:30:56 AM »
i'll ask for this, not sure, why the backup-plugin is now in the removePlugins-List

see also in include.php of the editor 

$ckeditor->config['removePlugins']

and

$ckeditor->config['extraPlugins']
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline sky writer

  • Posts: 926
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #42 on: January 28, 2018, 05:07:28 PM »
@jacobi22 - Instead of bothering you with all my reports, and then you having to forward them to the ticket system, I tried to register at the Redmine Ticket System, but I get a message "Login is invalid".
I entered all of my WB forum data, exactly.  Is there perhaps an issue because my user name has a space? - "sky writer"

Maybe someone can help me get registered.  Or, if you prefer I can just continue to report here.  Please let me know.

Offline sky writer

  • Posts: 926
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #43 on: January 28, 2018, 05:11:52 PM »
2.11.0 RC1 - DOCU/README

"upgrade-script.php"
Quote
WebsiteBaker Upgrade

This script upgrades an existing WebsiteBaker 2.10.0 (r66) installation to the 2.11.0-RC1 (r41) .
The upgrade script alters the existing WB database to reflect the changes introduced with WB 2.8.x

"reflect the changes introduced with WB 2.8.x"I wasn't sure if this was still valid, or if if there were changes since 2.8.x

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #44 on: January 28, 2018, 05:36:13 PM »
i'm not sure, i think, the upgrade-instructions are not finish at the moment

and for the project page, not sure, but i think, its needs a manual confirmation from the admin there

add your reports here, we add it later to the project page, it's thze right place here  :wink:
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline sky writer

  • Posts: 926
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #45 on: January 29, 2018, 01:07:23 AM »
Small English Language grammar change.

Admin-Tools:
Modules\captcha_control\EN.php - text change
from:
Quote
$MOD_CAPTCHA_CONTROL['HOWTO']             = 'Here you can control the behavior of "CAPTCHA" and "Advanced Spam Protection" (ASP). To get ASP work with a given module, this special module has to be adapted to make use of ASP.';
to:
Quote
$MOD_CAPTCHA_CONTROL['HOWTO']             = 'Here you can control the behavior of "CAPTCHA" and "Advanced Spam Protection" (ASP). To get ASP to work with a given module, that module has to be adapted to make use of ASP.';

The direct Google translate from the DE.php file is also acceptable, in my opinion:

Quote
$MOD_CAPTCHA_CONTROL['HOWTO']             = 'This controls the behavior of "CAPTCHA" and "Advanced Spam Protection" (ASP). For ASP to work in a module, the module used must be adapted accordingly.';

Offline sky writer

  • Posts: 926
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #46 on: January 29, 2018, 01:40:18 AM »
\modules\foldergallery\languages\EN.php  multiple spelling corrections, for your consideration.

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #47 on: January 29, 2018, 12:51:04 PM »
I upgraded a 2.10.0 site to 2.11.0 RC1 and the "backup" icon and functionality is gone from the CKeditor window.

i think, you and others waiting here for an answer

for this backup-plugin it's at the moment a unclear situation for the licence. the plugin is marked as commercial plugin
see -> https://ckeditor.com/cke4/addon/backup

the former version was GPL, but you found no version informations inside the plugin
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline jacobi22

  • Posts: 5210
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #48 on: January 29, 2018, 12:57:22 PM »
the languages-Variable is changed, the new EN.php added to the foldergallery - thanks!!

Hint: we dont change the RC1-Package, everys report is corrected in our intern test version
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline evaki

  • Posts: 2223
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #49 on: January 30, 2018, 09:59:22 AM »
Dank an sky writer
Korrekte Übersetzungen räumen nicht nur evtl Mißverständnisse aus, sondern tragen auch zur Imagepflege bei. Und öttinger englisch wäre eher für die WB-Karnevalsausgabe sinnvoll.  8-)
So ist es schön, daß sich jemand sorgsam darum kümmert.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

 

postern-length