Opensource-cms Umbraco wil ernstige kwetsbaarheid op 20 september patchen

Het team achter Umbraco, een opensource-contentmanagementsysteem dat gebruikmaakt van Asp.net, waarschuwt voor een ernstige kwetsbaarheid die het op 20 september wil patchen. Het geeft geen details over het lek.

In een waarschuwing schrijft het team dat het om een nieuwe kwetsbaarheid gaat, waarvan de details nog niet publiek zijn. Er zouden geen aanwijzingen zijn dat het lek wordt misbruikt. Het lek maakt het mogelijk om afgeschermde gegevens of private information in te zien op een kwetsbare site. Het team wil op 20 september een patch vrijgeven om 07:00 utc, oftewel 09:00 lokale tijd. Het proces om de patch uit te voeren neemt weinig tijd in beslag, aldus de waarschuwing. Vanwege de ernst van het lek geeft het team geen verdere details vrij.

Versies 4.11.9 tot en met 4.11.10 van het cms zijn kwetsbaar, net als versies 6.0.6 tot en met 6.2.6 en 7.0.0 tot en met 7.12.2. Klanten die gebruikmaken van Umbraco Cloud hoeven geen actie te ondernemen en krijgen de patch automatisch. Het team zegt dat upgrades vanaf versies 7.10, 7.11 en 7.12 op de gewone manier plaatsvinden en dat gebruikers met versies lager dan 7.10 handmatig veranderingen aan hun site moeten aanbrengen.

Umbraco is opensource en op GitHub is vermeld dat het cms wordt gebruikt door meer dan 440.000 websites, waaronder Heinz, Amazon en Microsoft.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 14-09-2018 19:40
17 • submitter: Turdie

14-09-2018 • 19:40

17 Linkedin

Submitter: Turdie

Lees meer

Aanvallers misbruiken kritiek Drupal-lek kort na uitkomen patch Nieuws van 26 april 2018
Drupal brengt beveiligingsupdates uit voor kritiek lek in Drupal 6, 7 en 8 Nieuws van 29 maart 2018
Wordpress lost ernstige kwetsbaarheid in updatemechanisme op Nieuws van 24 november 2016
Joomla dicht zeer gevaarlijk sql-injectiebeveiligingslek Nieuws van 22 oktober 2015
Meer producten en artikelen
Beveiliging en antivirus Cms Security

Reacties (17)

-Moderatie-faq
17
15
8
0
0
6
Wijzig sortering
ieperlingetje
14 september 2018 20:10
Is het uit veiligheidsoverwegingen wel verstandig te melden om welke versies het gaat? Nu kan men de commits in de sourcecode gaan aflopen om te zoeken wat de kwetsbaarheid is voor de update verschijnt.
bunnybugs_007
@ieperlingetje14 september 2018 20:44
Lastige afweging. Je wilt allereerst voorkomen dat een lek misbruikt word, maar aan de andere kant dat men het lek patcht door je update te installeren. Blijft een dunne lijn tussen die argumenten.
ieperlingetje
@bunnybugs_00714 september 2018 20:50
Men zou het kunnen oplossen door te zeggen: "bepaalde releases van versie 4, 6 en 7 zijn kwetsbaar" ipv de specifieke versienummers te geven.
bunnybugs_007
@ieperlingetje14 september 2018 21:40
Ben ik niet met je eens. Een goede informatievoorziening is belangrijk om vertrouwen te houden.

Je wilt niet geheimzinnig doen rondom een belangrijk lek, maar intussen wil je eventueel misbruik ook voorkomen. Blijft dus een hele lastige afweging, en er is geen perfecte oplossing...
StefanJanssen
@ieperlingetje14 september 2018 20:20
En anders word er niet geupdate door een groot deel van de mensen.
BikkelZ
14 september 2018 20:56
Goh tijdje geleden dat ik dat gezien heb. De WebForms tijd. Was voor mij vrij complex destijds of het was niet zo flexibel.
plofkip
@BikkelZ14 september 2018 21:54
Het is super flexibel en tegenwoordig netjes MVC. Ik vergelijk het vaak met lego en lego technic, je kunt er van alles mee bouwen :)
BikkelZ
@plofkip14 september 2018 22:03
Ja ik vond ASP.Net echt weergaloos zo gauw ik overgestapt was op MVC. WebForms is echt een technologie waarbij ik achteraf het gevoel heb dat mijn tijd verspild werd aan iets wat gewoon echt slecht opgezet was.
Dennis van der Stelt
@plofkip15 september 2018 19:54
Ik kan me nog goed herinneren dat ze een versie druk bezig waren en een van de devs in NL was. Die hield een praatje op een kleine usergroup achtig iets. Veel devs van bedrijven die flink geinvesteerd hadden om over te gaan op de nieuwe versie, die toen nog niet final was.

Kwam even de melding dat die versie volledig de prullebak in ging door verkeerde design beslissingen. Heb het hier nog met hem over gehad, maar het interesseerde hem geen reet dat zoveel bedrijven geïnvesteerd hadden. Gewoon laten vallen.

Laatste keer dat ik ooit naar Umbraco heb gekeken als serieus CMS.
plofkip
@Dennis van der Stelt15 september 2018 23:55
Vrij kortzichtig denk ik. V5 is inderdaad niets geworden.
Inmiddels zijn we bij v7 en v8 staat eraan te komen, misschien wordt het tijd om toch weer eens een blik te werpen :)
Arnold
@Dennis van der Stelt17 september 2018 09:21
Ik heb meer vertrouwen in een partij die hun foute keuzes toegeeft en daar zelfs drastische maatregelen voor wil nemen dit aan te pakken en bedrijfsvoering om te gooien om het in de toekomst te voorkomen, dan een partij die hun foute keuzes gewoon doordouwt en uitbrengt, waarna het probleem jaren blijft voortkabbelen en er nog veel meer geld doorheen gaat en je met een product vol problemen zit.

Ik neem trouwens aan dat je ook geen Google producten gebruikt?

[Reactie gewijzigd door Arnold op 17 september 2018 09:21]

Dennis van der Stelt
@Arnold17 september 2018 11:41
Zoals altijd is het antwoord "it depends". Het is niet zo zwart/wit bij dit soort scenarios.

Als zoiets ontwikkelt wordt op de achtergrond met de belofte dat alles beter gaat worden en ze zien er achteraf vanaf en herschrijven de boel, geen probleem. Als het wel een probleem is voor bedrijven de geïnvesteerd hebben, dan biedt je op zijn minst een uitweg door een upgrade scenario of iets dergelijks. Maar de enige reactie die ze gaven was "Ja, vette pech." Dat was behoorlijk zwart/wit en niet heel hoopgevend voor de toekomst.
be_bert
@Dennis van der Stelt17 september 2018 14:21
De investeringen waren allemaal vlot om te vormen naar de toenmalige V4, vanuit het bedrijf zelf ook heel goede support om dit te kunnen doen. Ze hebben dus niet zomaar een versie weggegooid. Ze hebben een fout toegegeven en daarna veel energie in hun product gestoken om de impact te beperken.

Bedrijven die zo zwaar investeren, dat het onmogelijk was om over te schakelen, maakten gewoon zelf geen al te slimme keuzes.
plofkip
@strompf15 september 2018 23:54
Iets met appels en peren...
xtra
@strompf16 september 2018 17:04
Hetzelfde kun je zeggen over Sitecore. Umbraco en Sitecore zijn zeker significant maar hebben ieder een specifieke doelgroep.Alleen de namen naast elkaar leggen levert niet zoveel zinnige informatie op.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee