Mededelingen

Veiligheidslek in Backup Module (WB Core)

Er is een lek ontdekt in de Backup module in de WebsiteBaker versies 2.7, 2.8.0, 2.8.1 (tot SVN revisienummer 1308). Hierdoor kunnen kwaadwillenden vanaf andere computers via de Backup module de controle van de betreffende sites overnemen.

Getroffen systemen
- WebsiteBaker versies 2.7, 2.8.0, 2.8.1 (tot SVN revisienummer 1308).
- Alle sites met de Backup module zijn in gevaar. De Backup module is in bovenstaande versies vast onderdeel van de standaard WebsiteBaker-installatie en is dus in principe altijd aanwezig!

Veiligheidsimpact
- Informatie over dit lek (een zogenaamde "exploit") in de beveiliging van WB is inmiddels gepubliseerd op de bekende gespecialiseerde sites, die worden bezocht door softwaremakers, softwaregebruikers, professionals in de softwarebeveiligingsindustrie, maar óók door hackers en andere kwaadwillenden.
- Met de informatie over de "exploit" kan in principe iedereen vanaf het web een WB-database downloaden, het wachtwoord kraken en de WB-installatie overnemen.

Maximale veiligheidsscore
- Hoogste score voor systemen die voldoen aan de genoemde eigenschappen.
- Geen gevaar voor alle andere WB-installaties, d.w.z. versie 2.6.7 en lager, en installaties waarvan de Backup module is gedeïnstalleerd.

Instructies om het lek te dichten
- Er is op dit momen geen patch om het lek te dichten. Deïnstalleer of verwijder de Backup module onmiddelijk!
- Vervang voor de zekerheid alle wachtwoorden in uw WebsiteBaker-installatie(s) die aan het risicoprofiel voldoen.

Aanvullende informatie

V: Hoe kan ik de Backup module deïnstalleren?

A: Dit kan op verschillende manieren, afhankelijk van uw server-configuratie.

Manier A)
Probeer de module te deïnstalleren via "Add-ons > Modules > Verwijderen" in het admin panel. Krijgt u een foutmelding dat verwijderen niet mogelijk is, gebruik dan de methode hieronder.

Manier B)
1. Verwijder de /modules/backup/ map van uw installatie, m.b.v FTP, een editor of een server file manager.

2. Verwijder de Backup module uit de database. Dit kan op 2 manieren:
- geef in een databasebeheerprogramma (bijv. phpMyAdmin) de SQL-opdracht:

delete FROM addons WHERE name = 'backup'

(Als uw database een prefix gebruikt, dan voegt u die toe aan "addons", bijvoorbeeld "wb_addons").

- of maak in het WB admin panel van de site een nieuwe pagina of sectie van het type "Code" met zichtbaarheid "Geregistreerd". Plaats de volgende inhoud in de Code-sectie: 

$results = $database->query("delete FROM ".TABLE_PREFIX."addons WHERE name = 'backup'");

Open deze nieuw aangemaakte pagina in uw browser (dus aan de website-kant). Hierdoor wordt de code uitgevoerd en de backup module uit de WB-installatie verwijderd. Hierna kunt u de nieuwe pagina of Code-sectie weer verwijderen.

V: Waarom wordt de Backup module niet gewoon verbeterd?
A: De module maakt geen deel meer uit van de WB-installatie omdat er naast dit veiligheidslek ook geen optie was om aangemaakte backups terug te zetten. Het maken van backups alleen is voor eindgebruikers niet voldoende als er geen manier is om ze ook weer te 'restoren'. Websitebouwers met kennis van zaken hebben de backup module niet nodig om backups te maken. De module was daarnaast verouderd en werkte niet goed met sommige moderne databases.

V: Wordt er ooit een nieuwe backup-functie ingebouwd?
A: Dat kan in de toekomst gebeureen, maar er zijn op dit moment geen concrete plannen voor. Vanaf versie SVN 1308 (2.8.1) zal er geen officiële backup module zijn, tenzij we iets anders laten weten.

V: Hoe kan ik WebsiteBaker dan wel backuppen?
A: Vrijwel iedere webhost biedt een database management systeem aan, bijvoorbeeld PhpMyAdmin. Hiermee kunt u backups maken en terugzetten van de database. Zorg er dan wel voor dat u daarnaast ook backups maakt van alle WB-folders op de server die uw gegevens bevatten, zoals /pages, /media, /modules, /templates etc.

Commentaren