Sicherheitslücke in FCKEditor Modulen vor v2.75

[doc]

Hallo,

das Forum Mitglied sogua hat mich informiert, dass das WebsiteBaker FCKEditor Modul eine Sicherheitslücke enthält. Betroffen sind alle bisher erschienen Versionen kleiner 2.75.

Was heisst das?
Der Bug erlaubt jedermann das hochladen von Bildern und Textfiles (keine .php in der Defaulteinstellung) in das WB Medienverzeichnis und deren Unterverzeichnisse. Es benötigt keinen Zugang zum WB Backend.

Auch wenn per Default das hochladen von PHP Dateien nicht funktioniert, kann dies genutzt werden, um fremde Inhalte (p***ographie, unerlaubte Inhalte...) hochzuladen. Somit könnte man Bilder auf dem Server austauschen (Verunstaltung).

Lösung:
Bitte auf die vor kurzem releaste Version v2.75 von FCKEditor updaten. Persönliche Konfigurationsdatei en im Ordner /modules/fckeditor/wb_config per FTP kopieren, die letzte Version vom Addons-Repository herunterladen, die zuvor gesichterten Konfigurationsdaten austauschen und über das WB backend die neue Version aufspielen.

Bitte prüft den MEDIENORDNER auf veränderte Dateien oder fremde Inhalte.

Hinweis:
Es könnten auch andere WYSIWYG Editoren (XINHA, TinyMCE) betroffen sein (noch nicht bestätigt). Um eventuellen Sichertheitsrisiken vorzubeugen, empfehlen wir eine .htaccess Passwortschutz im WYSIWYG Modulverzeichnis zu erstellen (/modules/EDITOR/.htaccess).

Ein Passwort für htaccess könnt ihr mit diesem Onlinegenerator erstellen.

Ach ja, das deaktivieren des Editors im Backend von WB hilft nicht. Entweder htaccess oder aber deinstallieren.

Christian Sommer (doc)

[doc]

Hallo,

auf der Add-ons Seite steht die neue FCKEditor Version v2.76 bereit.

Folgende zusätzliche Sicherheitsmassnahm en wurden gegenüber v2.75 eingebaut:

• Möglichkeit Dateien über FCKEditor hochzuladen oder neue Ordner zu erstellen wurde entfernt
• PHP Konnektor ist nur aktiv, wenn der Benutzer in WB angemeldet ist und Lesezugriff auf den MEDIEN Ordner hat (in v2.75 konnten alle in WB angemeldeten Benutzer Dateien hochladen)
• die Schaltflächen zum Durchsuchen des Servers (z.B. Bilder/Flash/Link Browser) sind nur aktiv, wenn der Benutzer Lesezugriff auf das MEDIEN Verzeichnis hat
• das hochladen von Dateien und erstellen von Ordnern muss nun über die WB Medienzentrale geschehen

Die Massnahmen erlauben es WB wieder die Kontrolle über das Medienverzeichnis zu übernehmen. In allen vorigen Versionen (einschliesslich v2.75) konnte jeder angemeldete Benutzer unabhängig von seiner Berechtigung Dateien ins Medienverzeichnis hochladen und Ordner erstellen.

Um die neue Version zu installieren, die alte Version über das WB Backend deinstallieren. Sichere vorher die persönlichen Einstellungen im Ordner: /wb_config. Anschliessend die neueste Version installieren.

Gruss Christian

[Schnetty]

Auweia, was mach ich arme Lampe denn dann? Ich hatte die 2.75 schon installiert, die funktionierte aber nicht und so hab ich den Tipp bekommen, eine ältere zu verwenden. In meinem Fall ist das WB 2.6.7 mit derzeit FCKEditor Version 2.74.

Greets
Schnetty

PS. kann ich nicht den aktuellen und den alten Editor nebeneinander installieren und schauen, welcher nun funktioniert und im Falle des Falles den alten Editor deinstallieren?

[doc]

Hallo,

installiere halt mal v2.76 und poste im FCKEditor Thread, falls weiterhin Probleme auftauchen.
Angaben wie ging nicht helfen nicht wirklich weiter 

Gruss Christian