Hallo, lieber Forumbenutzer. Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen Möglichkeiten der Kommunikation ist das Forum ein wenig eingeschlafen und weniger Nutzer benutzen das Forum aktiv (trotzdem lohnt es sich evtl. hier nach Lösungen zu suchen oder seine Frage zu stellen).

Wir empfehlen, für deine Fragen/Probleme aktuell (zusätzlich) Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: http://redaxo.org/slack/
AloneInTheCode
Beiträge: 18
Registriert: 10. Mai 2008, 06:50
Wohnort: Osnabrück

Sicherheit 4.2.1

25. Jun 2014, 18:13

Hallo zusammen,
ich habe eine Seite mit REDAXO 4.2.1 laufen.
Auf redaxo.org habe ich mich gerade auf der Seite 'Sicherheitshinweise' umgesehen und habe da ein paar Fragen zu den dortigen Angaben.

Sehe ich das richtig, dass für 4.2.1 einzig der Abschnitt 'REDAXO <= 4.5.0' in Frage kommt?
(Der Abschnitt 'REDAXO 4.2' ist wohl nur für 4.2.0 gedacht und der Abschnitt 'REDAXO 4.x' scheint einzig für die Versionen 4.3 und 4.4 zuzutreffen)

Inhaltlich entnehme ich dem Abschnitt 'REDAXO <= 4.5.0' im Wesentlichen, dass es einen Bug hinsichtlich des seltenen Falles mit dem XSS-Angriff gibt und die Probleme mit TinyMCE. Ist das richtig oder gibt es noch mehr Lecks?

Trifft die XSS-Problematik für 4.2.1 zu?
Sind außer der XSS-Problematik und TinyMCE weitere Sicherheitslücken bekannt?
Wurden mit neueren Versionen bekannte (oder vielleicht auch unbekannte) Lücken geschlossen, die derart brisant sind, dass ein Update quasi zwingend anzuraten ist?

Ich möchte insgesamt den Sicherheitsstatus von 4.2.1 abklopfen, z.B. um Abwägungen anzustellen, ob 4.2.1 noch ruhigen Gewissens zu empfehlen ist.

Besten Dank im Voraus für jegliche Unterstützung.

AloneInTheCode
Beiträge: 18
Registriert: 10. Mai 2008, 06:50
Wohnort: Osnabrück

Re: Sicherheit 4.2.1

17. Jul 2014, 17:42

Ahoi,
mh...wenn ich das richtig deute, hat niemand eine Ahnung.
Vielleicht hat der ein oder andere Entwickler zumindest die Info, ob ich den Beitrag auf der Readxo-Site richtig verstanden habe (siehe, was ich oben geschrieben habe)?

cu

Benutzeravatar
Jan.Kristinus
Admin
Beiträge: 2165
Registriert: 24. Aug 2004, 22:11
Wohnort: Frankfurt
Kontaktdaten: ICQ Website

Re: Sicherheit 4.2.1

18. Jul 2014, 09:46

Hi,

Version 4.2 ist mittlerweile ca. 4 Jahre alt. Wir prüfen nicht mehr alle Versionen entsprechend komplett durch, deswegen kann ich Deine Fragen nur so beantworten:

>Sehe ich das richtig, dass für 4.2.1 einzig der Abschnitt 'REDAXO <= 4.5.0' in Frage kommt?
auch der Abschnitt 'REDAXO 4.x' den ich nun umbenannt habe in 'REDAXO <= 4.4' ist sehr wahrscheinlich auch für die Version 4.2 relevant.

Allgemein veröffentlichen wir alle Sicherheitslücken die wir kennen - vielleicht aber nicht immer sofort - sondern erst wenn bugfix bereitsteht.

Es gibt relativ wenige Sicherheitsprobleme mit REDAXO, selbst ganz alte Webseite mit älteren Versionen laufen weiterhin, soweit mir bekannt, unproblematisch. Deswegen würde ich dir dennoch die Empfehlung aussprechen, beim nächten Relaunch (der sicher nach einer so langen Zeit kommen wird) auf die neueste Version zu setzen.

lg

Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/

Zurück zu „Sonstiges“