Menu

Keine Chance für Sicherheitslücken in Umbraco

Umbraco Coding
Umbraco Coding

Ende vergangener Woche versetzte das Auftreten einer Sicherheitslücke für verschiedene ältere Umbraco-Versionen die Community ganz schön in Aufregung. Wir erklären, welches Problem aufgetreten ist, wie ihr erkennt, ob eure Umbraco-Seite betroffen ist und wie ihr den Fehler beheben könnt.

Die große Kunst ist nicht, keine Fehler zu machen. Fehler passieren, selbst den Besten. Die Kunst ist die, schnell eine Lösung parat zu haben, sobald ein Problem auftaucht. Und das haben die Jungs und Mädels im Umbraco-HQ in der vergangenen Woche mal wieder bewiesen. 

Was war passiert? 
Durch einen Fehler in einer älteren Version des ClientDependency Libraries, wurde für einzelne Umbraco-Versionsnummern eine Sicherheitslücke geöffnet, durch die persönliche Daten ausgelesen werden konnten. Umbraco-Entwickler Steve Smith vom Goldpartner BMT Group hatte den Fehler entdeckt und gemeldet. Das HQ reagierte schnell und schuf eine Möglichkeit, den Fehler durch den Austausch der Library-DLL zu beheben und damit das Sicherheitsrisiko auszumerzen. Und das wichtigste: Es gibt keine bekannten Fälle von Datenleaks.  

Wie stellen Sie fest, ob Sie betroffen sind? 
Es gibt eine Liste betroffener Umbraco-Versionen. Zu denen gehören: 

  • 4.11.9 - 4.11.10
  • 6.0.6 – 6.2.6
  • 7.00 – 7.2.2

Falls eure Umbraco-Instanz einer dieser Versionen entspricht, besteht Handlungsbedarf. Zudem solltet ihr die Version der Datei ClientDependency.Core.dll überprüfen. Wenn diese höher als Version 1.8.3.1 ist, gibt es keinen Grund zur Sorge.

Was müsst ihr nun tun? 
Um das Problem zu lösen, müsst ihr die Datei ClientDependencyCore.dll entweder manuell oder per NuGet-Installation austauschen. Eine genaue Anleitung sowie Downloadlinks hierzu gibt es in der Beschreibung des Problems im offiziellen Umbraco-Blog. 

Wie könnt ihr Risiken minimieren? 
Grundsätzlich ist es in Sicherheitsfragen immer hilfreich, immer auf dem aktuellsten Software-Stand zu bleiben. Ihr profitiert dadurch nicht nur von stetig hinzugefügten Funktionen, sondern seid auch technisch auf der sicheren Seite.

 

Über den Autor

Sandra Kathe bloggt für die UUGD sowie den einzigen deutschsprachigen Umbraco-Goldpartner byte5 über Umbraco und seine Community. 

UUGD - Umbraco User Group Deutschland

c/o byte5 digital media GmbH
Hanauer Landstraße 114
60314 Frankfurt/Main

E-Mail: info@uugd.de

Du willst mehr über die Community erfahren und aktiv mitmischen? Du hast Themen für kommende Umbraco-Meetups irgendwo in Deutschland oder Lust einen Hackathon zu veranstalten? Oder brauchst du vielleicht einfach nur deutschsprachige Unterstützung beim Einstieg ins "freundlichste CMS der Welt". Wir freuen uns von dir zu hören!