• Sunday, 12. July 2020 14:28

EQdkp Plus 2.3.20 veröffentlicht - bitte aktualisieren!

GodModEnglish English 

Das Release von EQdkp Plus 2.3.20 von 06. November bringt einige neue Funktionen bzw. Veränderungen mit:

  • Eine Sicherheitsschwachstelle wurde behoben
  • Weitere kleine Verbesserungen und Härtungsmaßnahmen
  • Einige Fehlerbehebungen

Voraussetzungen

  • PHP ab Version 7.0
  • Minimum 64MB RAM für php, besser jedoch 128MB
  • zLib aktiviert (zip)
  • safemode deaktiviert (empfohlen, ansonsten kann der FTP-Modus verwendet werden)
  • curl aktviert
  • fopen aktiviert
  • autoload aktiviert
  • openssl aktiviert (optional)
  • Auf Windows-Servern erhöhter ThreadStackSize auf 8388608

Download EQdkp Plus 2.3.20:


FAQ zur Sicherheitsschwachstelle:

Am 06. November wurde Version 2.3.20 veröffentlicht, welche eine Sicherheitsschwachstelle behebt, weitere Härtungsmaßnahmen enthält und zusätzliche Fehler behebt.

Die Sicherheitsschwachstelle erlaubte es, unter Umständen Daten aus der Datenbank auszulesen.

Welche Versionen sind betroffen?

2.3.17 - 2.3.19

Wie wurdet ihr auf diese Schwachstelle aufmerksam?

Ein externer Sicherheitsforscher hat uns am 06. November diese vertrauensvoll an uns über den Bugtracker gemeldet. Danke hierfür an inc0x0.

Wodurch ist diese Schwachstelle entstanden?

Beim Zusammenbau eines SQL-Statements wurden Werte nicht korrekt validiert. Diese Stelle ist wohl bei dem Umbau auf Prepared Statements übersehen worden und wurde 4 Jahre lang nicht verändert. Durch einen Pull Request eines GitHub-Users, der eine neue Funktionalität eingebaut hatte (welche aber nach einem Review komplett unauffällig war), wurde diese Schwachstelle verwundbar.

Existieren Updates, die die Schwachstelle beheben?

Ja. Wir haben direkt nach der Meldung der Schwachstelle diese behoben und Updatepakete gebaut und 1,5 Stunden nach Meldung wurden diese über das Live-Update verteilt. Alle Versionen ab 2.3.20 sind von der Schwachstelle nicht mehr betroffen. Die Version 2.2.26 behebt den Fehler auch für die 2.2-Zweig, welcher aber unseres Wissens für diese Schwachstelle nicht anfällig war.

Hätte ein Angreifer sensible Daten stehlen können?

Nein. Die Email-Adressen der Benutzer liegen individuell verschlüsselt in der Datenbank, und die Passwörter sind mittels dem bcrypt-Verfahren gehasht, also mit einem State-of-the-art Verfahren speziell für Passwörter. Auch weitere sensible Daten, wie 2FA-Secrets etc. liegen nur verschlüsselt vor.

Hätte ein Angreifer Schadcode hinterlassen können?

Nein. In der Datenbank werden keine PHP Klassen oder Templates gespeichert.

Was habt ihr getan, damit es zukünftig nicht mehr zu so einer Schwachstelle kommt?

Bugs lassen sich nicht zu 100% verhindern. Wir sind aber nochmal unseren gesamten Code durchgegangen, haben konsequent auf Prepared Statements gesetzt, wo diese noch nicht verwendet wurden, und haben dafür extra weitere Funktionen implementiert, die uns das programmieren erleichtern und automatisch für Sicherheit sorgen.

Wieso erstellt ihr erst jetzt diese News?

Da uns kein öffentlicher Exploit dieser Schwachstelle bekannt war, wollten wir sicherstellen, dass die betroffenen EQdkp Plus Installation erst gepatcht werden, bevor Informationen zu der Schwachstelle öffentlich werden. Da nur noch ein Bruchteil an verwundbaren EQdkp Plus Installationen im Netz stehen, können wir nun diese News veröffentlichen.


Unterstützt uns

Wenn euch EQdkp Plus und unsere Arbeit gefällt, denkt bitte über eine Unterstützung für uns nach.


Lost Password

Unsere Seite auf Google+