US-CERT warnt vor schwerer Sicherheitslücke in dotCMS

Update NOW!
Das US-CERT gab heute eine Sicherheitswarnung für dotCMS 1.9 („und möglicherweise frühere Versionen”) heraus, da es eine Verwundbarkeit aufweist, die es Usern ohne entsprechende Rechte ermöglicht, bösartige Templates mit beliebigem Java-Code zu erzeugen und möglicherweise sogar die Kontrolle über den Server zu übernehmen.

Zunächst einmal könnte man denken, diese Sicherheitswarnung sei Schnee von gestern, da die 2010 erschienene Version dotCMS 1.9 längst überholt ist. Allerdings ist die Angelegenheit nicht so eindeutig bzw. wohl vom Computer Emergency Response Team lediglich ungeschickt formuliert, denn laut derselben Mitteilung wird die Verwundbarkeit erst mit den Versionen 1.9.5.1 oder 2.0.1 beseitigt („dotCMS version 1.9.5.1 or 2.0.1 and later address these vulnerabilities”). Ein Blick auf die aktuellen Download-Versionen zeigt, dass diese Releases tatsächlich existieren (dotCMS 2.0.1 und 1.9.5.1 jeweils mit Datum vom 22.5.2012):

dotCMS Downloads

Was offenbar völlig fehlt, sind die entsprechenden Release-Mitteilungen von dotCMS bzw. Hinweise auf die Sicherheitslücke. „What’s New” von heute erwähnt nichts in dieser Richtung:

dotCMS - What's New?

Eine offizielle Release-Mitteilung für 1.9.5.1 oder 2.0.1 kam mir auch in den RSS-Feeds von dotCMS nicht unter die Augen, weder in den News/Press-Releases, noch im Team-Blog bzw. im Newsletter-Feed. Der dotCMS News/Press Release-Feed, Stand heute, 17 Uhr:

dotCMS-Feed

In den dotCMS-Tweets findet sich mit Datum vom 23.5. kleinlaut die Meldung „dotCMS 2.0.1 has been released today.”, jedoch ohne Hinweis auf eine Sicherheitsschwachstelle.

Nach langem Suchen schließlich findet man im Changelog die Erwähnung der Versionen 1.9.5.1 und 2.0.1, jeweils mit dem Hinweis „Addresses 2 security concerns with being able to shell in dotCMS via XSLT and from Velocity”. – Alles in allem nicht gerade ein Handling schwerer Sicherheitslücken, wie man es sich wünschen würde…

Als CVSS Base Score der Sicherheitslücke wird vom US-CERT angegeben:

  • Base 8.5 AV:N/AC:M/Au:S/C:C/I:C/A:C
  • Temporal 6.9 E:POC/RL:U/RC:UC

Weiterführende Links

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS News, CMS Sicherheitswarnungen abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.