Sicherheitshinweise

REDAXO < 4.6.2

Der Imagemanager prüft bei den Bildnamen nicht, ob dieser in einem anderen Ordner ist. Demnach kann man darüber BIlder ausgeben lassen, die in geschützten Bereichen abgelegt sind. Deswegen muss in dieser Datei

redaxo/include/addons/image_manager/config.inc.php

folgende Zeile abgewandelt werden

$rex_img_file = rex_get('rex_img_file', 'string');

zu

$rex_img_file = basename(rex_get('rex_img_file', 'string'));

REDAXO <= 4.5.0

Auf seclists.org gibt es einige Hinweise zu XSS und zu einer TinyMCE Sicherheitslücke. Die XSS Probleme haben wir in der Version 4.5.1 behoben und tauchen ausschliesslich auf, wenn ein Angreifer es auf einen speziellen User abgesehen hat, dessen REDAXO Webseite weiß, und sich der User auf dieser Webseite eingeloggt hat und genau in diesem Moment auf einen präparierten Link klickt, in welchem dann das XSS eingebaut ist. Wie bereits in anderen Fällen erwähnt empfinden wir dies als einen sehr unwahrscheinlichen Fall.

Eine andere leider wichtige Anpassungen ist das TinyMCE AddOn. Hier hat sich eine Sicherheitslücke aufgetan, die unbedingt behoben werden muss. Sofern dieses AddOn nicht installiert ist, gibt es keine Probleme, ansonsten bitte die aktuelle Version aus dem Downloadbereich herunterladen und installieren.

Weiterhin gibt es HInweise, dass ein User mit REDAXO Login, sich mehr Rechte einholen, also erlaubt ist und, unter bestimmten Umständen, PHP Skripte einschleusen kann. Diese Scherheitslücken sind auch behoben.

Da wir hierfür keine Patchdatei haben, sollte man das TinyMCE AddOn komplett austauschen, und, sofern mal die REDAXO Version 4.5.0 hat, alle Dateien, ausser den Configdateien, austauschen.

REDAXO <= 4.4

Es gibt auf HTBridge einen Hinweis, dass unter bestimmten Umständen ein XSS (Cross-Site-Scripting) möglich ist. Sofern also ein User in einer bestimmten REDAXO Webseite im Backend als Admin eingeloggt ist, und genau in diesem Zeitpunkt ein Angreifer einen Link schickt, der genau für diese spezifische Webseite für genau diesen User vorbereitet ist, den dann dieser User anklickt, dann ist ein XSS möglich. Wir finden, dass dies ein sehr unwahrscheinlicher Fall ist, aber wollen dennoch eine Lösung anbieten. Dazu muss eine Datei ausgetauscht werden:

sicherheitsupdate_4_3_und_4_4.zip

REDAXO 4.2

In der Version 4.2.0 ist uns leider ein Fehler unterlaufen. Sofern register_globals=off ist muss folgende Datei ersetzt werden, damit die Sicherheitslücke geschlossen ist. (class.compat.inc.php) WIr empfehlen aber in jedem Fall die Überschreibung der Datei !

Am Besten folgendes Paket downloaden. sicherheitsupdate_4.2.0.zip

REDAXO 3.2

Unter bestimmten Servereinstellung kann es zu einem Sicherheitsproblem kommen. Für diesen Fall gibt es folgende Patches. Die Downloadversion von REDAXO beinhalten schon diese Anpassungen.

Datei “functions.inc.php” ersetzen:

REDAXO 2.7

Unter bestimmten Servereinstellung kann es zu einem Sicherheitsproblem kommen. Für diesen Fall gibt es folgende Patches. Die Downloadversion von REDAXO beinhalten schon diese Anpassungen.

Datei “functions.inc.php” ersetzen: