WBCE CMS

WBCE

Way better content editing

Neues aus der Teeküche

WBCE 1.1.11 - Doch noch ein Update

Florian Meerwinck, 12.02.2017

Etwas ungeplant mussten wir die Arbeiten an der Version 1.2 unterbrechen, um noch ein Update für den 1.1er-Strang von WBCE einzuschieben. Wieso das nötig war und weshalb das Update schnellstmöglich eingespielt werden sollte: hier steht's.

Unverhofft kommt oft. Am 24.01.2017 erreichte uns eine Mail vom " JPCERT/CC Vulnerability Handling Team". (Wenn Ihr noch nichts von denen gehört hattet: ich auch nicht; aber das ist tatsächlich eine teilstaatliche japanische Instution für IT-Sicherheit.) In der (glücklicherweise englischsprachigen) Mail stand zunächst nur der vage Hinweis, man habe verschiedene Sicherheitslücken in WBCE gefunden, und wir mögen doch schnellstmöglich einen Ansprechpartner benennen, dann würde man uns entweder eine verschlüsselte Mail mit der Beschreibung der gefundenen Schwachstellen zukommen lassen, oder, wenn keine verschlüsselten Mails möglich seien, einen passwortgeschützten Download der jeweiligen Beschreibungen bereitstellen.

Natürlich haben wir sofort reagiert und die Problembeschreibungen angefordert. Die haben es leider  in sich, sind also berechtigt. Wir, d.h. im wesentlichen unser Chefentwickler Norbert Heimsath, mit Unterstützung von Communitymitglied cwsoft, haben dann die beschriebenen Probleme analysiert - und (fast) alles stehen und liegen gelassen, um selbige zu beheben.

Im Zuge dessen hat sich dann herausgestellt, dass auch doch noch so die eine oder andere Problemstelle bestand, die auch besser gestern als heute zu fixen war. Nach etlichen internen Tests und Abstimmungen konnten wir dann heute, am 12.02.17, eine Version releasen, in der diese Fehler beseitigt sind.

Das heißt: WBCE 1.1.11 hat also keine neuen Features, und zur Wahrung der Konsistenz sind verschiedene Module und jQuery noch auf dem "alten" Stand (CKEditor 4.4.8, Topics 0.9.1, jQuery 1.7.1) - denn es ging hier ausschließlich um das Fixen der Sicherheitslücken und nichts anderes. Updates an den genannten Modulen (und noch so einiges mehr) wird es also erst in der Version 1.2 geben, in deren Entwicklung natürlich ebenfalls die aktuellen Sicherheitsverbesserungen eingeflossen sind.

Um Euch das Update so einfach wie möglich zu machen, gibt es neben dem üblichen Installer auch ein Patch-Paket, das den problemlosen Umstieg von WBCE >= 1.1.3 auf 1.1.11 ermöglicht. Für ältere WBCE-Versionen (oder auch WebsiteBaker) steht wie gewohnt das Upgrade-Script bereit.

Jetzt ist es an Euch. Bitte verwendet ab sofort nur noch die 1.1.11, macht ein Update, spielt den Patch ein. Glaubt mir: wir haben das nicht aus Langeweile gemacht, und wir hätten uns auch lieber ausschließlich auf WBCE 1.2 konzentriert. Aber der Teufel ist eben ein Eichhörnchen *.

Zum Download

Infos im Forum (auch ohne Anmeldung erreichbar)


 

Zurück

Kommentare

13.02.2017

Viktor

Klasse, dass Ihr das macht.

Und vor allem: DANKE!

14.02.2017

Martin

ja super - Danke - wir verlassen uns auf Euer Engagement - schon toll !

16.02.2017

karsten

danke für den patch - absolut hilfreich!

19.02.2017

Reinhard M.

Herzlichen Dank für Eure Mühen. Ich bin durch Zufall auf diesen Patch gestoßen. Gibt es einen Newsletter, den ich abbonieren kann, dmit solche Infos nicht mehr dem Zufall überlassen bleiben? Ich nutze WBCE nur privat, nicht kommerziell und schaue deshalb nicht so oft in den Foren vorbei.
Nochmals recht herzlichen Dank für Eure rasche Reaktion.
MfG Reinhard

19.02.2017

Florian

Hallo Reinhard,
einen WBCE-Newsletter gibt es nicht, aber Du kannst uns auf Twitter oder Facebook folgen (Links siehe WBCE-Homepage) und/oder den Sicherheitshinweise- sowie Ankündigungen-Thread in unserem Forum abonnieren (d.h. Du erhältst eine Mail, sobald dort etwas gepostet wird). Dafür ist die einmalige Registrierung am Forum erforderlich.

Dir und auch allen anderen: Herzlichen Dank für das positive Feedback, das mach Mut, weiterzumachen!

19.02.2017

User82

Auch ich konnte das Patch problemlos einspielen. Funktioniert einwandfrei, danke für eure Arbeit! Ein Newsletter wäre vielleicht eine nachdenkenswerte Einrichtung. Da könnte sich dann jeder Interessierte eintragen und würde über solche Vorkommnisse informiert werden. Dies würde ich zumindest Facebook und Twitter vorziehen.

Kommentar

email address:
Homepage:
URL:
Comment:

Name:

E-Mail (required, not public):

Website:

Kommentar :

Prüfziffer:
 =  Bitte Ergebnis eintragen