Thema: JCE Editor - Sicherheitsupdate

Da gibt man sich leider bedeckt, so das man nicht weiss wie kritisch diese Lücke ist. Daraus könnte man wiederrum schließen, das es eine kritische Lücke ist.

Auch diesr Hinweis deuted auf eine ernsre Lücke hin:

Both packages include important security updates and all users are urged to upgrade as soon as possible. All previous JCE versions are afffected.

Hallo zusammen.
Danke für den Heinweis, habe bereits alle Installationen gepatcht und jeweils ein neues Backup angestossen

Zitat von flotte

Da gibt man sich leider bedeckt, so das man nicht weiss wie kritisch diese Lücke ist. Daraus könnte man wiederrum schließen, das es eine kritische Lücke ist.

Eine Schlussfolgerung, der man wohl zustimmen kann.

Zitat von Lacki

Hallo zusammen.
Danke für den Heinweis, habe bereits alle Installationen gepatcht und jeweils ein neues Backup angestossen

Eine Schlussfolgerung, der man wohl zustimmen kann.

Hallo,

ich verstehe das leider nicht. JCE ist doch nur ein Editor. Ich verstehe nicht, wie der eine Sicherheitslücke sein kann. Aber ich denke, das wäre zu kompliziert, mir das zu erklären.

Da ich ihn aber installiert habe und ihr euch ziemlich besorgt anhört, sollte ich wohl etwas tun. Was bedeutet gepatcht und was bedeutet backup angestoßen? Ein backup habe ich zufälligerweise heute gemacht, aber das ist sicher was anderes?

Ich wäre euch sehr dankbar, wenn ihr erklären könntet, wie ich diese Sicherheitslücke schließen kann.

DAnke im voraus.

Das würde mich auch Interessieren, wie ein Editor ein Sicherheitsrisko darstellen kann. Wobei dette, es gibt doch schon ein Update-Link dazu, auf dem oben genannten Post.

Da über die Lücke bis jetzt nichts genaues bekannt ist können wir nur wild spekulieren.

Der JCE ist aber eine Erweiterung in PHP-Code wie der Joomla Core oder andere Erweiterungen.
Somit ist es z.B. möglich durch direkten Aufruf eines Programmteils (ihr seht das in euren Logfiles) im entsprechenden Verzeichnisordner Schadcode einzuschleusen oder auch die DB zu manipulieren.

Das ist jetzt nur eine gaaanz einfache Erklärung

Für eine genauere lasse ich unseren PHP-Experten gerne den Vortritt


Ergänzung:

Besonderes Augenmerk ist jeweils auf Bestandteile des Systems zu richten die Änderungen und Eingaben zulassen. Das wären z.B. Formulare, Gästebücher, Editoren etc.


Ihr dürft auch gern nach "php sicherheitslücken" googlen
http://www.google.de/search?q=php+sicherheitslücken


Für unsere Newbees zum JCE-Update:

Komplettpaket runterladen und so wie es ist über den Joomla Backendinstaller das System updaten

(7 Sites ohne Probleme geupdated)

Danke Dir cylance. Deine einfache Antwort reicht mir persönlich!

Außerdem lädt der JCE sehr viel Javascript, auch darin könnte die Sicherheitslücke stecken.

Hier ein paar details dazu: http://secunia.com/advisories/43418
Die Version 1.5.7.7. hat bei mir Probleme mit dem Bilderupload verursacht.
Nach intervention im JCE Forum wurde ich auf ein File (manager.php) verwiesen, welches ich zusätzlich uploaden soll.
Hat gefunzt. JCE 1.5.7.8 mit dieser Bereinigung soll laut Entwickler in Bälde folgen.
Zum JCE-Forumsbeitrag