Ende vergangener Woche versetzte das Auftreten einer Sicherheitslücke für verschiedene ältere Umbraco-Versionen die Community ganz schön in Aufregung. Wir erklären, welches Problem aufgetreten ist, wie wir es für unsere Kunden bereits behoben haben und was Sie auch künftig tun können, um Ihr Webprojekt abzusichern.

Die große Kunst ist nicht, keine Fehler zu machen. Fehler passieren, selbst den Besten. Die Kunst ist die, schnell eine Lösung parat zu haben, sobald ein Problem auftaucht. Und das haben die Jungs und Mädels im Umbraco-HQ in der vergangenen Woche mal wieder bewiesen. Das spielt nicht zuletzt auch Umbraco-Partnern wie uns in die Hände. Eine Ende letzter Woche entdeckte Sicherheitslücke für ältere Umbraco-Instanzen haben wir so Stunden nach Bekanntgabe für unsere Kunden geschlossen, so dass wir für diese Lesergruppe hier vor allem eine wichtige Information haben: Alles ist in bester Ordnung! Unsere Entwickler haben bereits alles für Sie erledigt.

Was war passiert? 
Durch einen Fehler in einer älteren Version des ClientDependency Libraries, wurde für einzelne Umbraco-Versionsnummern eine Sicherheitslücke geöffnet, durch die persönliche Daten ausgelesen werden konnten. Umbraco-Entwickler Steve Smith vom Goldpartner BMT Group hatte den Fehler entdeckt und gemeldet. Das HQ reagierte schnell und schuf eine Möglichkeit, den Fehler durch den Austausch der Library-DLL zu beheben und damit das Sicherheitsrisiko auszumerzen. Und das wichtigste: Es gibt keine bekannten Fälle von Datenleaks.  

Wie stellen Sie fest, ob Sie betroffen sind? 
Es gibt eine Liste betroffener Umbraco-Versionen. Zu denen gehören: 

  • 4.11.9 - 4.11.10
  • 6.0.6 – 6.2.6
  • 7.00 – 7.2.2

Falls Ihre Umbraco-Instanz einer dieser Versionen entspricht, besteht Handlungsbedarf. Zudem sollten Sie die Version der Datei ClientDependency.Core.dll überprüfen. Wenn diese höher als Version 1.8.3.1 ist, gibt es keinen Grund zur Sorge.

Was müssen Sie nun tun? 
Um das Problem zu lösen, müssen Sie die Datei ClientDependencyCore.dll entweder manuell oder per NuGet-Installation austauschen. Eine genaue Anleitung sowie Downloadlinks hierzu finden Sie in der Beschreibung des Problems im offiziellen Umbraco-Blog. 
Was bestehende byte5-Kunden betrifft: Wir haben uns bereits wenige Stunden nach Bekanntwerden des Bugs um alle nötigen Updates gekümmert!

Wie können Sie Risiken minimieren? 
Grundsätzlich ist es in Sicherheitsfragen immer hilfreich, immer auf dem aktuellsten Software-Stand zu bleiben. Sie profitieren dadurch nicht nur von stetig hinzugefügten Funktionen, sondern sind auch technisch auf der sicheren Seite.

Können wir Sie beim Umstellen Ihren Projekts auf die neueste Umbraco-Version unterstützen? Sind Sie sich unsicher, ob Ihre Umbraco-Seite vom Bug betroffen ist? Oder brauchen Sie Unterstützung beim Sicherheits-Update? Unsere Experten helfen Ihnen gerne weiter!

Kontakt zu den Umbraco-Experten >>

 

 

Zurück