Zunächst einmal könnte man denken, diese Sicherheitswarnung sei Schnee von gestern, da die 2010 erschienene Version dotCMS 1.9 längst überholt ist. Allerdings ist die Angelegenheit nicht so eindeutig bzw. wohl vom Computer Emergency Response Team lediglich ungeschickt formuliert, denn laut derselben Mitteilung wird die Verwundbarkeit erst mit den Versionen 1.9.5.1 oder 2.0.1 beseitigt („dotCMS version 1.9.5.1 or 2.0.1 and later address these vulnerabilities”). Ein Blick auf die aktuellen Download-Versionen zeigt, dass diese Releases tatsächlich existieren (dotCMS 2.0.1 und 1.9.5.1 jeweils mit Datum vom 22.5.2012):
Was offenbar völlig fehlt, sind die entsprechenden Release-Mitteilungen von dotCMS bzw. Hinweise auf die Sicherheitslücke. „What’s New” von heute erwähnt nichts in dieser Richtung:
Eine offizielle Release-Mitteilung für 1.9.5.1 oder 2.0.1 kam mir auch in den RSS-Feeds von dotCMS nicht unter die Augen, weder in den News/Press-Releases, noch im Team-Blog bzw. im Newsletter-Feed. Der dotCMS News/Press Release-Feed, Stand heute, 17 Uhr:
In den dotCMS-Tweets findet sich mit Datum vom 23.5. kleinlaut die Meldung „dotCMS 2.0.1 has been released today.”, jedoch ohne Hinweis auf eine Sicherheitsschwachstelle.
Nach langem Suchen schließlich findet man im Changelog die Erwähnung der Versionen 1.9.5.1 und 2.0.1, jeweils mit dem Hinweis „Addresses 2 security concerns with being able to shell in dotCMS via XSLT and from Velocity”. – Alles in allem nicht gerade ein Handling schwerer Sicherheitslücken, wie man es sich wünschen würde…
Als CVSS Base Score der Sicherheitslücke wird vom US-CERT angegeben:
- Base 8.5 AV:N/AC:M/Au:S/C:C/I:C/A:C
- Temporal 6.9 E:POC/RL:U/RC:UC
Weiterführende Links
- US-CERT: dotCMS template permissions allow arbitrary code execution
- dotCMS: Changelog