[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
REDAXO Forum • Sicherheit 4.2.1

REDAXO Forum

Diskussionen, Fragen rund um das CMS REDAXO
https://redaxo.org/forum/

Sicherheit 4.2.1

https://redaxo.org/forum/viewtopic.php?t=19907

Seite 1 von 1

Sicherheit 4.2.1

Verfasst: 25. Jun 2014, 18:13
von AloneInTheCode
Hallo zusammen,
ich habe eine Seite mit REDAXO 4.2.1 laufen.
Auf redaxo.org habe ich mich gerade auf der Seite 'Sicherheitshinweise' umgesehen und habe da ein paar Fragen zu den dortigen Angaben.

Sehe ich das richtig, dass für 4.2.1 einzig der Abschnitt 'REDAXO <= 4.5.0' in Frage kommt?
(Der Abschnitt 'REDAXO 4.2' ist wohl nur für 4.2.0 gedacht und der Abschnitt 'REDAXO 4.x' scheint einzig für die Versionen 4.3 und 4.4 zuzutreffen)

Inhaltlich entnehme ich dem Abschnitt 'REDAXO <= 4.5.0' im Wesentlichen, dass es einen Bug hinsichtlich des seltenen Falles mit dem XSS-Angriff gibt und die Probleme mit TinyMCE. Ist das richtig oder gibt es noch mehr Lecks?

Trifft die XSS-Problematik für 4.2.1 zu?
Sind außer der XSS-Problematik und TinyMCE weitere Sicherheitslücken bekannt?
Wurden mit neueren Versionen bekannte (oder vielleicht auch unbekannte) Lücken geschlossen, die derart brisant sind, dass ein Update quasi zwingend anzuraten ist?

Ich möchte insgesamt den Sicherheitsstatus von 4.2.1 abklopfen, z.B. um Abwägungen anzustellen, ob 4.2.1 noch ruhigen Gewissens zu empfehlen ist.

Besten Dank im Voraus für jegliche Unterstützung.

Re: Sicherheit 4.2.1

Verfasst: 17. Jul 2014, 17:42
von AloneInTheCode
Ahoi,
mh...wenn ich das richtig deute, hat niemand eine Ahnung.
Vielleicht hat der ein oder andere Entwickler zumindest die Info, ob ich den Beitrag auf der Readxo-Site richtig verstanden habe (siehe, was ich oben geschrieben habe)?

cu

Re: Sicherheit 4.2.1

Verfasst: 18. Jul 2014, 09:46
von Jan.Kristinus
Hi,

Version 4.2 ist mittlerweile ca. 4 Jahre alt. Wir prüfen nicht mehr alle Versionen entsprechend komplett durch, deswegen kann ich Deine Fragen nur so beantworten:

>Sehe ich das richtig, dass für 4.2.1 einzig der Abschnitt 'REDAXO <= 4.5.0' in Frage kommt?
auch der Abschnitt 'REDAXO 4.x' den ich nun umbenannt habe in 'REDAXO <= 4.4' ist sehr wahrscheinlich auch für die Version 4.2 relevant.

Allgemein veröffentlichen wir alle Sicherheitslücken die wir kennen - vielleicht aber nicht immer sofort - sondern erst wenn bugfix bereitsteht.

Es gibt relativ wenige Sicherheitsprobleme mit REDAXO, selbst ganz alte Webseite mit älteren Versionen laufen weiterhin, soweit mir bekannt, unproblematisch. Deswegen würde ich dir dennoch die Empfehlung aussprechen, beim nächten Relaunch (der sicher nach einer so langen Zeit kommen wird) auf die neueste Version zu setzen.

lg

Jan
Alle Zeiten sind UTC+02:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/