{"id":2549,"date":"2012-05-25T16:12:04","date_gmt":"2012-05-25T15:12:04","guid":{"rendered":"http:\/\/www.cms-content-migration.de\/?p=2549"},"modified":"2016-04-20T06:19:02","modified_gmt":"2016-04-20T04:19:02","slug":"us-cert-warnt-vor-schwerer-sicherheitsluecke-in-dotcms","status":"publish","type":"post","link":"https:\/\/www.media-deluxe.de\/blog\/2012\/05\/us-cert-warnt-vor-schwerer-sicherheitsluecke-in-dotcms\/","title":{"rendered":"US-CERT warnt vor schwerer Sicherheitsl\u00fccke in dotCMS"},"content":{"rendered":"
\"Update<\/div>\n
Das US-CERT gab heute eine Sicherheitswarnung f\u00fcr dotCMS 1.9 (\u201eund m\u00f6glicherweise fr\u00fchere Versionen\u201d) heraus, da es eine Verwundbarkeit aufweist, die es Usern ohne entsprechende Rechte erm\u00f6glicht, b\u00f6sartige Templates mit beliebigem Java-Code zu erzeugen und m\u00f6glicherweise sogar die Kontrolle \u00fcber den Server zu \u00fcbernehmen. <\/strong><\/div>\n

Zun\u00e4chst einmal k\u00f6nnte man denken, diese Sicherheitswarnung sei Schnee von gestern, da die 2010 erschienene Version dotCMS 1.9 l\u00e4ngst \u00fcberholt ist. Allerdings ist die Angelegenheit nicht so eindeutig bzw. wohl vom Computer Emergency Response Team lediglich ungeschickt formuliert, denn laut derselben Mitteilung wird die Verwundbarkeit erst mit den Versionen 1.9.5.1 oder 2.0.1 beseitigt (\u201edotCMS version 1.9.5.1 or 2.0.1 and later address these vulnerabilities\u201d). Ein Blick auf die aktuellen Download-Versionen zeigt, dass diese Releases tats\u00e4chlich existieren (dotCMS 2.0.1 und 1.9.5.1 jeweils mit Datum vom 22.5.2012):<\/p>\n

\"dotCMS<\/p>\n

Was offenbar v\u00f6llig fehlt, sind die entsprechenden Release-Mitteilungen von dotCMS bzw. Hinweise auf die Sicherheitsl\u00fccke. \u201eWhat’s New\u201d von heute erw\u00e4hnt nichts in dieser Richtung:<\/p>\n

\"dotCMS<\/p>\n

Eine offizielle Release-Mitteilung f\u00fcr 1.9.5.1 oder 2.0.1 kam mir auch in den RSS-Feeds von dotCMS nicht unter die Augen, weder in den News\/Press-Releases, noch im Team-Blog bzw. im Newsletter-Feed. Der dotCMS News\/Press Release-Feed, Stand heute, 17 Uhr:<\/p>\n

\"dotCMS-Feed\"<\/p>\n

In den dotCMS-Tweets findet sich mit Datum vom 23.5. kleinlaut die Meldung \u201edotCMS 2.0.1 has been released today.\u201d, jedoch ohne Hinweis auf eine Sicherheitsschwachstelle.<\/p>\n

Nach langem Suchen schlie\u00dflich findet man im Changelog die Erw\u00e4hnung der Versionen 1.9.5.1 und 2.0.1, jeweils mit dem Hinweis \u201eAddresses 2 security concerns with being able to shell in dotCMS via XSLT and from Velocity\u201d. – Alles in allem nicht gerade ein Handling schwerer Sicherheitsl\u00fccken, wie man es sich w\u00fcnschen w\u00fcrde…<\/p>\n

Als CVSS Base Score<\/a> der Sicherheitsl\u00fccke wird vom US-CERT angegeben:<\/p>\n