Sicherheits-Release der Wiki-Software Foswiki 1.1.5

Update NOW!
Foswiki 1.1.5 ist ein auf Sicherheitsaspekte fokussiertes Wartungs-Release der Wiki-Software. Das Update umfasst mehr als 120 Bugfixes und Optimierungen. Auch für die Mitte Februar mit einem provisorischen Hotfix behobene Schwachstelle CVE-2012-1004 wurde nun eine nachhaltige Lösung implementiert.

Für das Freie (GPL-Lizenz) Open Source Foswiki wurde ein umfangreiches Wartungs-Release vorgelegt, das insbesondere die Sicherheit dieser Wiki-Software härten soll.

Mitte Februar hatte Foswiki eilig einen Hotfix für die Schwachstelle mit der Bezeichnung CVE-2012-1004 herausgegeben. CVE-2012-1004 betraf die Registrierung neuer Wiki-Benutzer (ungefilterte Variablenübernahme) und wurde in die Foswiki-eigene niedrigste Risikoklasse 3 kategorisiert. Betroffen waren alle Foswiki-Versionen. Diese Sicherheitslücke wurde mit dem nun vorliegenden Update nachhaltig geschlossen.

Mehr als 120 weitere Bugs wurden behoben. Ferner wurde die Version 3.4.6 des TinyMCE Editor eingespielt, und Fehlermeldungen im Registrierungsprozess werden nun in der jeweils gewählten Benutzersprache ausgegeben.

Administratoren sollten sich mit dem Update intensiver befassen. Beispielsweise gibt es weitreichende Veränderungen im .htpasswd-Handling. Unbedachte Veränderungen von Grundeinstellungen im Backend könnten zur Zerstörung von Passwörtern führen. Auch an der Foswiki API wurde geschraubt: Die zuvor nicht mehr empfohlene Funktion getScriptUrlPath() wird nun wieder unterstützt und wurde dahingehend verbessert als ihr Aufruf nun konsistent mit Foswiki::Func::getScriptUrl() ist. Wesentliche Unterschiede zur Version 1.1.4 betreffen beispielsweise auch die Erzeugung von Statistiken und Log-Files sowie das Session-Management in gemischten http/https-Umgebungen. (Update 13.4.2012: siehe untenstehenden ergänzenden Kommentar).


Weiterführende Links

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS News, CMS Sicherheitswarnungen abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu “Sicherheits-Release der Wiki-Software Foswiki 1.1.5”

  1. Die Foswiki-eigene Risikoklasse 3 ist die niedrigste von allen.

    • Marc Stenzel sagt:

      Danke für den Hinweis, ich habe es korrigiert. Es ist etwas verwirrend, dass Foswiki – anders als die allermeisten Plattformen – die niedrigste Gefahrenstufe mit der höchsten Nummer belegt.

      Hier die standardisierte Klassifizierung nach CVSS (lt. NIST/NVD):
      CVSS v2 Base Score:2.1 (LOW) (AV:N/AC:H/Au:S/C:N/I:P/A:N)

  2. Michael Daum sagt:

    Hallo, ich würde gerne darauf hinweisen, dass Foswiki::Func::getScriptUrlPath() sehr wohl weiter unterstützt wird. Anstatt diese Funktion zu entfernen wurde der Deprecation-Prozess sogar gestoppt und die API verbessert.

    Des weiteren ist die Bemerkung, dass Passwörter zerstört werden könnten, irreführend. In dem neuen Release wurde eine Auto-Detect Methode implementiert, die eine Migration auf stärkere Passworte problemlos ermöglicht. In der Pressemitteilung wird darauf hingewiesen, dass nach einem Upgrade auf 1.1.5 die so migrierte Passwort-Datei mit Foswiki-1.1.4 inkompatibel ist.

    Ich würde mich freuen, wenn Sie ihren Artikel diesbezüglich etwas korrigieren könnten.

    Ansonsten möchte ich mich im Namen der Foswiki Community bei Ihnen für die Veröffentlichung dieses Artikels bedanken.