Author Topic: Gbit es eine Sicherheitslücke im Kontaktformular?  (Read 389 times)

Offline gba

  • Posts: 41
Gbit es eine Sicherheitslücke im Kontaktformular?
« on: June 19, 2019, 06:40:48 PM »
Hallo,

mich hat jemand angeschrieben, dass es in unserem Kontaktformular eine Sicherheitslücke gäbe.
Ist da etwas bekannt? Der hat mich etwas verunsichert.

Wir benutzen WB 2.12.1 und das Form-Modul.

Offline evaki

  • Posts: 2702
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #1 on: June 19, 2019, 06:43:11 PM »
Warum benennt er die Sicherheitslücke nicht - hat der was geraucht?
Und was heißt "in unserem Kontaktformular", mal 'ne Adresse nennen?

Hab' auch schon gehört, daß die Russen bald vor der Türe stehen - ah -nee, das war ja Oma  :-D
MfG. Evaki

Offline dbs

  • Betatester
  • **
  • Posts: 8011
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #2 on: June 19, 2019, 07:45:18 PM »
Hat derjenige denn auch Hilfe angeboten oder nähere Einzelheiten mitgeteilt?
Ohne die Seite zu sehen wird es schwierig.

Offline evaki

  • Posts: 2702
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #3 on: June 19, 2019, 07:57:35 PM »
Nun mal Quatsch beiseite.
Gibt es dazu ein Ereignis? Irgendein Verhalten muß ihn doch dazu bewogen haben, eine derartige Aussage zu machen. Ein Link zur Seite wäre hilfreich - mehr als das.
MfG. Evaki


Nachtrag:
Quote
gba: und daher vorsorglich mal nachgefragt.
Mit einem Link wäre das schnell zu klären.
Quote
hier raucht hoffentlich niemand bewußtseinsveränder nde Sachen.
Na, manch einem könnte es helfen  ;D
« Last Edit: June 19, 2019, 08:36:59 PM by dbs »

Offline gba

  • Posts: 41
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #4 on: June 19, 2019, 07:58:57 PM »
Leute, hier raucht hoffentlich niemand bewußtseinsveränder nde Sachen.

Ich habe mit ihm Kontakt aufgenommen, aber er hat nur geschrieben "Die kritische Sicherheitslücke in Ihrem Kontaktformular ist Ihnen sicherlich bereits bekannt, auf diese können wir bei Bedarf näher eingehen."
Die Lücke ist mir nicht bekannt, aber ich werde ihn danach fragen.
Vorab habe ich hier im Forum gesucht, nichts gefunden und daher vorsorglich mal nachgefragt.

Offline dbs

  • Betatester
  • **
  • Posts: 8011
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #5 on: June 19, 2019, 08:06:02 PM »
Danke für die Info. Klingt für mich nun eher nach Arbeitsbeschaffungs maßnahme, ohne dass es etwas zu beheben gäbe.
Sei besser vorsichtig.

Wenn die Keywords "Zugang" oder "Euro" fallen:  Lauf! :)
« Last Edit: June 19, 2019, 08:11:26 PM by dbs »

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 586
  • Gender: Male
    • meine Homepage
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #6 on: June 19, 2019, 10:20:34 PM »
ich vermute dass der Webseitenbetreiber mit ein paar dubiosen Andeutungen dazu bewogen werden soll die Login-Credentials preiszugeben. Im nächsten Schritt wird damit dann die Webseite übernommen und ein Lösegeld gefordert. Da nicht genauer beschrieben wird um was für eine Lücke es sich handelt, kann die erste Email pauschal an alle webmaster@irgendeine-domain geschickt werden. Wer darauf antwortet, kommt in die engere Wahl...

Ich wäre daher in einem solchen Fall weiterhin äußerst vorsichtig damit, irgendwelche Email-Anhänge zu öffnen oder auf Links in den Emails zu klicken, wenn der angebliche Hinweisgeber nicht konkret im Emailtext angeben kann, bei welchem Formular welche Eingaben genau ein Sicherheitsproblem darstellen sollen. Und schon gar nicht Admin-Passwort für eine angebliche kostenlose Reparaturaktion herausrücken. Per PM hier im Forum an die Core-Entwickler ja, aber nicht per mail an irgendeine Adresse, von der man nicht weiß wer da überhaupt dahinter steht.

Übrigens: Dass du dich hier bei den WB-Entwicklern rückversucherst, ob in der Richtung irgendwas bekannt ist, ist genau das richtige was du tun kannst.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4366
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #7 on: June 20, 2019, 10:00:57 AM »
Bekomme ich in Massen jeden Tag. Auf sowas reagiere ich gewöhnlich garnicht. Wir als Entwickler nehmen solche Meldungen immer ernst. Eine zuverlässige Quelle zum nachschauen lautet https://www.cvedetails.com/product/30441/WebsiteBaker-WebsiteBaker.html?vendor_id=14999.

Desweiteren bekommen wir sofort eine detaillierte Mitteilung mit Aufforderung die Sicherheitslücke zu schliessen. Auch evaki ist so nett  und checkt uns regelmäßig das Frontend auf Sicherheitslücken.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3025
  • Gender: Female
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #8 on: June 20, 2019, 11:42:31 AM »
Eine kleine aber wichtige Bemerkung muss ich da noch ergänzen:

Die Hinweise, die wir von CVE und anderen Organisationen bekommen, betreffen ausschließlich das von uns selbst verteilte Installationspaket von WebsiteBaker !!

Diese Hinweise umfassen jedoch NICHT Zusatzmodule etc. aus irgendwelchen anderen Quellen!! (Ausnahmen bestätigen die Regel)

(damit sind alle möglichen Module gemeint, die nicht von uns explizit geprüft und freigegeben sind. Und auch nicht auf unseren Seiten angeboten werden.)
unsere Downloadquellen sind ausschließlich:

https://addon.WebsiteBaker.org/ (hier unbedingt eventuell vorhandene Sicherheitshinweise beachten!)
https://wiki.WebsiteBaker.org/doku.php/downloads

Manuela
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline gba

  • Posts: 41
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #9 on: August 04, 2019, 01:08:21 PM »
Status-Update:
Ich habe dem Kritiker am 2. Juli eine Mail geschickt, in der ich nach dem Sicherheitsleck gefragt habe. Darauf habe ich bis jetzt keine Antwort bekommen.
Es war wohl eine Behauptung zur Verunsicherung. Er meinte schließlich auch, dass wir ein CMS einsetzen sollten. Mein Einwand, dass ein CMS benutzt wird könnte ihn demotiviert haben.

Offline gba

  • Posts: 41
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #10 on: August 04, 2019, 01:11:40 PM »
Noch eine Sache in diesem Zusammenhang:

Bei meinen Experimenten mit dem Form-Modul habe ich auch HTML-Inhalte getestet. Die scheinen - sinnvollerweise - geprüft und bei Bedarf gekürzt zu werden.
Was genau wird da entfernt?

Offline jacobi22

  • Posts: 5865
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Gbit es eine Sicherheitslücke im Kontaktformular?
« Reply #11 on: August 05, 2019, 03:33:49 PM »
Anfragen dieser Art von verunsicherten Usern bekomm ich wöchentlich, oft verbunden mit einer speziellen "Empfehlung" oder einem Hilfsangebot, diese Systemumstellung gleich und oft auch kostenfrei zu übernehmen.
Du kannst dir aber sicher sein, das hier mehr als nur die Entwickler drauf schauen. Neben den erbetenen Sicherheitschecks gibt es auch noch unabhängige Kontrollinstanzen und Leute, die, egal mit welchen Intentionen, jede Zeile Code auseinandernehmen.
Wie oben gesagt: wichtig sind die Quellen und wichtig ist auch die jeweils aktuellste Version.
Wenn ein Provider noch eine WB 2.10.0 als Vorinstallation anbietet, sollte man die Finger davon lassen und das Paket selbst installieren.
Wer nicht will, findet Gründe, wer will, findet Wege.