Sicherheitslücken in Widgets des ZP

  • Hallo, ich bin gerade auf diesen Artikel via Google News aufmerksam gemacht worden:


    https://futurezone.at/produkte…herheitsluecken/400065974

    Habe ich etwas "verpasst"? :/ Ich bin erhalte i.d.R. Benachrichtigungen über neue Einträge im hiesigen Forum, bin auch beim Newsletter angemeldet.

    Nachtrag:

    Ich habe mir den Artikel auf "futurezone" nun nochmals durchgelesen. Dort heißt es, dass die Version Version 14.3.1 die beiden Sicherheitslücken nicht mehr aufweist, jedoch müsse man die entsprechenden Dateien "händisch" austauschen, um die Website(s) vor einem potentiellen Angriff zu schützen.

    Es ist im besagten Artikel zudem zu lesen, die Sicherheitsforscher der Firma SEC Consult hätten im November 2017 die (Zitat) "zwei gravierende Sicherheitslücken" beim Zeta Producer entdeckt.

    Was mich nun auch verunsichert ist der Umstand, dass lt. SEC Consult auf deren Hinweise keine Antworten erfolgt seien:

    2017-11-29: Contacting vendor through info@zeta-producer.com and various other email addresses from the website. No reply.

    2017-12-13: Contacting vendor again, extending email address list, no reply.

    2018-01-09: Contacting vendor again.

    2018-01-10: Vendor replies, requests transmission of security advisor.

    2018-01-10: Sending unencrypted security advisory to vendor.

    2018-07-02: There was no feedback from the vendor but the version 14.2.1 fixed the reported vulnerabilities.

    2018-07-12: Public advisory release.

    Weiter heißt es auch der SEC-Website (hier von mir auf Deutsch übersetzt):

    "Benutzer des Produkts müssen außerdem überprüfen, ob die betroffenen Widgets im entsprechenden Website-Projekt aktualisiert wurden! Es könnte notwendig sein, das gesamte Projekt neu zu erstellen oder die neuen Widgets in die Website-Projekte zu kopieren."


    Der Workaround von SEC lautet:


    Remove “formmailer” and “filebrowser” widgets.


    (Quelle: https://sec-consult.com/en/blo…eta-producer-desktop-cms/)


    Daher möchte ich hier freundlichst um eine Klarstellung der Angelegenheit bitten und um eine konkrete Information darüber, wie nun vorzugehen ist, wenn es lt. Berichterstattung nicht mit dem letzten Update getan ist (was sich wohl auf bestehende Projekte bezieht).


    Herzlichen Dank vorab!

  • Wir haben die Lücken damals umgehend gefixed. Im Artikel steht ja auch, dass die Lücken in 14.2.1 nicht mehr vorhanden waren. Das nehmen wir schon ernst. Händisch austauschen muss man da auch nichts.

  • Guten Abend Herr Seiz,

    danke für die prompte Rückmeldung! Ich bezweifele auch keineswegs, dass es ernst nimmt. Allerdings habe ich erst jetzt (eher zufällig) von diesen beiden Sicherheitslücken erfahren und kann mich nicht daran erinnern, dass man als User darüber seitens des Herstellers informiert wurde.

    Und SEC behauptet ja, auf mehrfache Anfragen erst keine Antwort erhalten zu haben und letztlich auch keine Information darüber bekommen zu haben, dass die beiden Sicherheitslücken geschlossen wurden.

    Ich finde, dass sollte man bitte zukünftig transparenter handhaben. Sicherheitslücken haben auch unzählige andere Programme bereits gehabt, aber als User lediglich über Medien hierüber zu erfahren, schafft nur (weitere) Verunsicherung.

    Es ist also so, dass man auch bei bestehenden Projekten nichts aktualisieren muss, die vor dem Update 14.2.1 auf den Webspeicher des Auftraggebers hochgeladen wurden und an denen bislang nicht mehr gearbeitet wurde?


    Ich bin wohl der erste Ansprechpartner, dem meine Kunden nämlich "auf's Dach steigen" werden - gerade was Datenschutz angeht.


    Die Sicherheitslücken sind nun geschlossen, daher werde ich wie gewohnt mit dem ZP weiterarbeiten.

  • Hallo Jörg,


    die Sicherheitslücke bei formmailer besteht nach meinem Verständnis nur, wenn das Feld "Dateiupload" im Formular verwendet wurde, ohne auf bestimmte Dateitypen einzuschränken.

    Die Sicherheitslücke wurde offensichtlich mit der 14.2.1 behoben. Für Webseiten, die mit einer älteren Version erstellt wurden, ist eine Neuveröffentlichung mit der aktuellen Programmversion geboten, wenn im Formular ein "Dateiupload" ohne Beschränkung auf bestimmte Dateitypen angeboten wurde oder das Widget "Dateibrowser" verwendet wurde.


    Hinsichtlich der Kommunikation dieser Lücke gebe ich Dir Recht, das merken die Mitarbeiter vom Support auch gerade selber, dass das nicht optimal gelaufen ist.

  • Guten Abend Thomas,

    danke für Deine Info bzgl. Neuveröffentlichung. Ich bin bereits dabei, vorsichtshalber sämtliche Kunden-Websites mit der Version 14.3.1 neu hoch zu laden. Passt mir eigentlich nicht in den Kram, da ich längst ins Bett wollte, weil Morgen früh um 5.00 Uhr der Wecker klingelt und ich noch eine lange, berufliche Reise vor mir habe.

    Aber was soll´s...

    Was die Kommunikation angeht, möchte ich dem ZP-Team keinen direkten Vorwurf machen, wünsche mir allerdings, dass darüber die Nutzer zukünftig informiert werden.

    Bin hier im Forum, beim Newsletter angemeldet. Habe auch in den "Release notes" (https://www.zeta-producer.com/de/versionshinweise-v14.html) nicht ein Wort darüber gelesen, dass es eine Sicherheitslücke gab. Stattdessen erhielt ich heute eine Meldung via Google News.

    Es ist besser, offensiv mit einer Problematik (Sicherheitslücke etc.) umzugehen, denn schließlich kann das immer mal geschehen und niemand zieht den Entwicklern deswegen die Beine lang.

    Von den ZP-Entwicklern und vom Support wissen wir zudem, dass sie sich immer sehr bemühen. Darum habe ich auch weiterhin Vertrauen in deren Arbeit.

    Aber verunsichert hat mich die Art und Weise der (nicht erfolgten) Kommunikation schon. Nun aber "Schwamm drüber". Für die Zukunft agiert man sicherlich anders.

    Auch Dir wünsche ich ein angenehmes Wochenende!

  • Ja, um die entsprechenden Dateien zu aktualisieren, sollte jeder, dessen Website mit Version 14.2.0 oder älter veröffentlicht ist, auf einen neuere Version aktualisieren und dann sicherheitshalber ein "Erweitert > Erstellen > Alle Seiten erstellen" durchführen und anschließend veröffentlichen.