Discussion about WB-2.11.0 RC1 - Public release test

[evaki]

Wo kommen die Rückmeldungen hin?
Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.
MfG. Evaki

[jacobi22]

Please test that WB 2.11.0 RC1 and give us response.
We will wait now until 2018/02/01 and collect the results of your tests. In the case of success, we publish the 2.11.0 as a 'stable' version at a short distance.

Download it here: Public RC-Test for WB 2.11.0 RC1

[jacobi22]

da hat der Uwe wohl falsch zusammengeführt und der Eintragsbeitrag ist an Position 2   

Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.

korrekt und gefixt + Danke!
der Pfad zur js-Datei war noch auskommentiert
Die Cookie-Confirm-Leiste wird später etwa mittig im Beispiel-Template "DefaultTemplate" erscheinen und dort fest verankert sein, die Webseite im Hintergrund bleibt scroll- und damit bedienbar.
Leider sind die gesetzlichen Vorgaben nach wie vor unklar

P.S.: Die Fehler werden alle gesammelt und die Korrekturen fließen dann in die Stable Version

correct and fixed + thanks!
the path to the js file was still commented out
The cookie confirmation bar will appear later in the middle of the example template "DefaultTemplate" and be anchored there, the web page in the background remains scrollable and thus operable.
Unfortunately, the legal requirements are still unclear

P.S .: The bugs are all collected and the corrections are then put into the stable version

[evaki]

Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen.

Eine Meldung, wohlgemerkt, im zugänglichen BE (eingeloggt), also alles ist gut, und außerdem ist die Testsuite manchmal ziemlich blöd:

Code: [Select]

[Possible] Cross-site Request Forgery Detected, Level LOW

Certainty   
Url  http://localhost/admin/pages/modify.php?page_id=1 
Form Name(s)  form_properties
wysiwyg1
form_properties
form_properties
form_properties
form_properties
 
Form Action(s)  http://localhost/modules/code/save.php
http://localhost/modules/form/add_field.php
http://localhost/modules/form/modify_backup.php
http://localhost/modules/form/modify_settings.php
http://localhost/modules/news/add_post.php
http://localhost/modules/news/add_group.php
http://localhost/modules/news/modify_settings.php
http://localhost/admin/pages/save.php
 
Classification Classification
PCI 3.0 6.5.9
PCI 2.0 6.5.9
OWASP 2010 A5
OWASP 2013 A8
CWE 352
CAPEC 62
WASC 09
Vulnerability Details
Testsuite identified a possible Cross-Site Request Forgery.

CSRF is a very common vulnerability. It's an attack which forces a user to execute unwanted actions on a web application in which the user is currently authenticated.

Impact
Depending on the application, an attacker can mount any of the actions that can be done by the user such as adding a user, modifying content, deleting data. All the functionality that’s available to the victim can be used by the attacker. Only exception to this rule is a page that requires extra information that only the legitimate user can know (such as user’s password).
Hab mir noch ein paar Zeilen Erläuterungen dazu angetan. Ist in WB derzeitig wohl harmlos.

MfG. Evaki
Na gut, den haben wir noch
Password Transmitted over HTTP
Url  http://localhost/admin/preferences/index.php 
Form target action  http://localhost/admin/preferences/save.php 
Da nun so gut wie überall SSL genutzt wird, sollte das kein Problem darstellen.

[evaki]

Auch wenn ich den Scan erst am Wocheende mal komplett durchlaufen lasse, hab' ich hier schon einen relevanten -ein "Aufhänger"  :

Code: [Select]

Response Body (Too Large)
Certainty   
Url  http://localhost/admin/media/setparameter.php 
Vulnerability Details
Testsuite identified an unexpected redirect response body (too large).

This generally indicates that after redirect the page did not finish the response as it was supposed to.

Impact
This can lead to serious issues such as authentication bypass in authentication required pages. In other pages it generally indicates a programming error.
Remedy
Finish the HTTP response after you redirect the user.
In PHP applications, call exit() after you redirect the user.
MfG. Evaki

[evaki]

Korrektur: Ursachenangabe
Unexpected Redirect Response Body (Too Large)
Lösung: Mit fehlendem exit() ergänzen.
MfG. Evaki

[ruebenwurzel]

Hello,

after upgrading to 2.11 RC 1 frontend.css of all modules isn't loaded.

Matthias

[jacobi22]

#1 - register_frontend_m odfiles("'css');  is neccesary in template-index.php

#2 - pls check the output-filter settings - is it empty???  if yes, start a manual install of the output-filter-module

[ruebenwurzel]

Hello,

Code: [Select]

<?php register_frontend_modfiles('css');?>is in index.php of template

output-filter-settings Modul manually installed, all options testet by activating and deactivating.

No changes, no "frontend.css" is loaded.

Only if I activate "snipptet.js" the frontend.css of WBLingual is loaded, but no other "frontend.css"

Matthias

[dbs]

Upgraded from which version?
Which PHP version?
No errors in upgrade script?
With default Template the same problem?

This problem has never appeared in many tests.

[Luisehahne]

Hi,

i just has talk with Matthias, I'm knowing what to do.
 
We have to activate or deactivate Js and Css Filter with an own switch.

Many tks for all help.

Dietmar

[ruebenwurzel]

Hello,

thanks to Dietmar. Problem seems to be, that <?php register_frontend_m odfiles('css');?> in index.php of frontend template only works if Filter "FrontendJs" is set in Output Filter Frontend in the backend from WB. It is for me unlogical that i have to activate JS to get CSS. Should be changed or better explained.

Matthias

[CodeALot]

Ok if nobody is saying it, I will:
I think it's VERY careless to announce to the world that ALL versions of WB have a vulnerability that enables the bad guys to wipe an entire WB-installation, when all you have to fix it is a still untested release candidate.

[evaki]

Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 
Die beste Waffe ist "open source". Werkzeuge zur Überprüfung gibts für Profis, also nicht für Windows-Knopfdrücker, auch als open source und kostenlos. Wer damit umgehen kann, braucht sich vor Hackern nicht zu fürchten.
MfG. Evaki

Ganz vergessen: Wenn Sicherheitslücken, in welchem Softwareprodukt auch immer auftun, ist es leider so wie auch bei Viren etc. Man kann nur hinterher korrigierend eingreifen, weshalb auch ein Sicherheitsdenken bei jedem Computerbesitzer und erst recht bei Websitenbetreibern gefordert ist. Gut, in DE möglicherweise ein Problem (Schuld sind immer die anderen  )

[evaki]

Um das auch noch zu entschärfen:
Evaki: "Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen."
"Anfälligkeiten" bedeutet nicht, daß diese auch die "gewünschte" Möglichkeit eröffnen, unautorisierten Zugriff zu bekommen, zumal -die es wissen, und Infos dazu haben- es, wenn überhaupt, nur den BE-Bereich betraf. Man mußte also getreu eines B.B "schon drin sein". Derartige Anfälligkeiten wurden schon vor langer Zeit geschlossen, und nur darauf bezog sich die Aussage.

Echte Sicherheitsprobleme gibts mittlerweile, nach den bisherigen Erfahrungen zu urteilen, nur noch auf der Serverseite, und beim Umgang mit Zugangsdaten.

Die z.Z. angemerkten Unstimmigkeiten, die übrigens als vollständiger Report per Mail ans Team gehen, befinden sich mehr auf der Code-Ebene, können möglicherweise, als "möglicherweise" sind sie auch gekennzeichnet, z.B. Probleme bei der Ausführung eines CMS-Scripts  bereiten, also evtl. eine Ausführung stören. Ob sich das, oder auch andere Auffäligkeiten wirklich schädlich für Funktion oder Sicherheit auswirkt, wird dann anhand der Reports von den Dev. geprüft.
Hoffe, das reicht um den Ablauf zu verstehen. Jeglicher Alarm ist unnötig.
MfG. Evaki

[hgs]

Danke für die Aufklärung und Danke fürs durchtesten.

[CodeALot]

Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 

May very well be. Burglars have great knowledge of locks. But you don't have to yell at them "Hey! This door is not locked at night!"

[evaki]

>> "Hey! This door is not locked at night!"
Bei einem Tor würde ich zustimmen. Ansonsten führen die "Anfälligkeiten" nur zur Frage: "Sind bestehende Funktionsstörungen geeignet Sicherheitsprobleme auszulösen?" Eigentlich eine Frage, die sich grundsätzlich immer stellt.
MfG. Evaki

[dbs]

One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

[CodeALot]

One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

And my point is: you don't go public with a vulnerability before you have a fix. And a Release Candidate is NOT a fix.

[evaki]

Wollen wir doch die Reihenfolge, möglichst auch in der Argumentation, einhalten.
Ein RC1 ist ein feature complete. Also wird dieser zum Test herausgegeben. Danach noch festgestellte Probleme führen zu RC2, RC3. Um Fehler zu finden, muß die Software erstmal vorliegen, ups... -hier also RC1 Soweit ich weiß, gabs keine beta.
Ist doch eigentlich nicht schwierig, das zu verstehen.
MfG. Evaki

[CodeALot]

You're missing the point completely. RC is no option for production environments. Therefor, there is no option to fix the vulnerability in that same production environment.

[evaki]

Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki

[CodeALot]

Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki

Like I said: you're missing the point completely. Probably lost in translation somewhere. Have a good evening.

[evaki]

>>Probably lost in translation somewhere
Nee, sicherlich nicht. Aber unterschiedliche Standpunkte und Vorgehensweisen haben im Forum durchaus ihre Berechtigung. Wir profitieren ja alle ein wenig davon.
Auch Dir noch einen schönen Abend, Evaki