Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Opensource-cms Umbraco wil ernstige kwetsbaarheid op 20 september patchen

Het team achter Umbraco, een opensource-contentmanagementsysteem dat gebruikmaakt van Asp.net, waarschuwt voor een ernstige kwetsbaarheid die het op 20 september wil patchen. Het geeft geen details over het lek.

In een waarschuwing schrijft het team dat het om een nieuwe kwetsbaarheid gaat, waarvan de details nog niet publiek zijn. Er zouden geen aanwijzingen zijn dat het lek wordt misbruikt. Het lek maakt het mogelijk om afgeschermde gegevens of private information in te zien op een kwetsbare site. Het team wil op 20 september een patch vrijgeven om 07:00 utc, oftewel 09:00 lokale tijd. Het proces om de patch uit te voeren neemt weinig tijd in beslag, aldus de waarschuwing. Vanwege de ernst van het lek geeft het team geen verdere details vrij.

Versies 4.11.9 tot en met 4.11.10 van het cms zijn kwetsbaar, net als versies 6.0.6 tot en met 6.2.6 en 7.0.0 tot en met 7.12.2. Klanten die gebruikmaken van Umbraco Cloud hoeven geen actie te ondernemen en krijgen de patch automatisch. Het team zegt dat upgrades vanaf versies 7.10, 7.11 en 7.12 op de gewone manier plaatsvinden en dat gebruikers met versies lager dan 7.10 handmatig veranderingen aan hun site moeten aanbrengen.

Umbraco is opensource en op GitHub is vermeld dat het cms wordt gebruikt door meer dan 440.000 websites, waaronder Heinz, Amazon en Microsoft.

Door Sander van Voorst

Nieuwsredacteur

14-09-2018 • 19:40

17 Linkedin Google+

Submitter: shadowman12

Reacties (17)

Wijzig sortering
Is het uit veiligheidsoverwegingen wel verstandig te melden om welke versies het gaat? Nu kan men de commits in de sourcecode gaan aflopen om te zoeken wat de kwetsbaarheid is voor de update verschijnt.
Lastige afweging. Je wilt allereerst voorkomen dat een lek misbruikt word, maar aan de andere kant dat men het lek patcht door je update te installeren. Blijft een dunne lijn tussen die argumenten.
Men zou het kunnen oplossen door te zeggen: "bepaalde releases van versie 4, 6 en 7 zijn kwetsbaar" ipv de specifieke versienummers te geven.
Ben ik niet met je eens. Een goede informatievoorziening is belangrijk om vertrouwen te houden.

Je wilt niet geheimzinnig doen rondom een belangrijk lek, maar intussen wil je eventueel misbruik ook voorkomen. Blijft dus een hele lastige afweging, en er is geen perfecte oplossing...
En anders word er niet geupdate door een groot deel van de mensen.
Goh tijdje geleden dat ik dat gezien heb. De WebForms tijd. Was voor mij vrij complex destijds of het was niet zo flexibel.
Het is super flexibel en tegenwoordig netjes MVC. Ik vergelijk het vaak met lego en lego technic, je kunt er van alles mee bouwen :)
Ja ik vond ASP.Net echt weergaloos zo gauw ik overgestapt was op MVC. WebForms is echt een technologie waarbij ik achteraf het gevoel heb dat mijn tijd verspild werd aan iets wat gewoon echt slecht opgezet was.
Ik kan me nog goed herinneren dat ze een versie druk bezig waren en een van de devs in NL was. Die hield een praatje op een kleine usergroup achtig iets. Veel devs van bedrijven die flink geinvesteerd hadden om over te gaan op de nieuwe versie, die toen nog niet final was.

Kwam even de melding dat die versie volledig de prullebak in ging door verkeerde design beslissingen. Heb het hier nog met hem over gehad, maar het interesseerde hem geen reet dat zoveel bedrijven geļnvesteerd hadden. Gewoon laten vallen.

Laatste keer dat ik ooit naar Umbraco heb gekeken als serieus CMS.
Vrij kortzichtig denk ik. V5 is inderdaad niets geworden.
Inmiddels zijn we bij v7 en v8 staat eraan te komen, misschien wordt het tijd om toch weer eens een blik te werpen :)
Ik heb meer vertrouwen in een partij die hun foute keuzes toegeeft en daar zelfs drastische maatregelen voor wil nemen dit aan te pakken en bedrijfsvoering om te gooien om het in de toekomst te voorkomen, dan een partij die hun foute keuzes gewoon doordouwt en uitbrengt, waarna het probleem jaren blijft voortkabbelen en er nog veel meer geld doorheen gaat en je met een product vol problemen zit.

Ik neem trouwens aan dat je ook geen Google producten gebruikt?

[Reactie gewijzigd door Arnold op 17 september 2018 09:21]

Zoals altijd is het antwoord "it depends". Het is niet zo zwart/wit bij dit soort scenarios.

Als zoiets ontwikkelt wordt op de achtergrond met de belofte dat alles beter gaat worden en ze zien er achteraf vanaf en herschrijven de boel, geen probleem. Als het wel een probleem is voor bedrijven de geļnvesteerd hebben, dan biedt je op zijn minst een uitweg door een upgrade scenario of iets dergelijks. Maar de enige reactie die ze gaven was "Ja, vette pech." Dat was behoorlijk zwart/wit en niet heel hoopgevend voor de toekomst.
De investeringen waren allemaal vlot om te vormen naar de toenmalige V4, vanuit het bedrijf zelf ook heel goede support om dit te kunnen doen. Ze hebben dus niet zomaar een versie weggegooid. Ze hebben een fout toegegeven en daarna veel energie in hun product gestoken om de impact te beperken.

Bedrijven die zo zwaar investeren, dat het onmogelijk was om over te schakelen, maakten gewoon zelf geen al te slimme keuzes.
Iets met appels en peren...
Hetzelfde kun je zeggen over Sitecore. Umbraco en Sitecore zijn zeker significant maar hebben ieder een specifieke doelgroep.Alleen de namen naast elkaar leggen levert niet zoveel zinnige informatie op.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True