[SECURITY] Plugins, Addons und Templates von 3-magi.net

[cmb]

Hallo zusammen,

[Dies ist die deutsche Übersetzung von http://cmsimpleforum.com/viewtopic.php?f=36&t=7794].]

Ich muss die Sicherheits-Warnung von Gert Ebersbach bzgl. Plugins, Addons und Templates von 3-magi.net bestätigen; tatsächlich erlauben einige meiner jüngsten Plugins (Beta-Versionen) unauthentisierten Zugang zur Plugin-Administration, wenn Sie unter CMSimple (alle Versionen) und CMSimple_XH < 1.5.4 verwendet werden.

Natürlich werde ich sobald wie möglich Sicherheitsupdates veröffentlichen, die die Lücke schließen. Ich hatte bei Gert per E-Mail angefragt, wie ich das am besten bewerkstelligen solle, aber er hat mir nicht direkt geantwortet. Offensichtlich möchte er nicht, dass ich Plugins für CMSimple schreibe. Um diesem Wunsch zu entsprechen, werden meine zukünftigen Plugin-Versionen ausschließlich unter CMSimple_XH laufen. Selbst wenn alle meine veröffentlichten Plugins ausdrücklich CMSimple_XH als Mindestanforderung angeben, werde ich mein bestes tun, um nicht unterstützte Versionen und Varianten von CMSimple zu erkennen, und das Plugin angemessen reagieren zu lassen.

Ich empfehle meine Plugin von Systemen, die die Plugin-Anforderungen wie im Handbuch (alias Hilfe-Datei) angegeben nicht erfüllen, unverzüglich zu deinstallieren. Es wird weder Bugfixes noch Security-Patches von mir geben, die es ermöglichen die Plugins unter nicht unterstützten Systemen auszuführen.

Eine Alternative ist ein Upgrade auf eine unterstützte CMSimple_XH Version durchzuführen.

Entschuldigt die Unannehmlichkeiten,
Christoph
http://3-magi.net/de/

[Der Zwerch]

Hallo,

... wenn Sie unter CMSimple (alle Versionen) und CMSimple_XH < 1.5.4 verwendet werden.

Aber zusammen mit der Version 1.6.2 ist alles safe, oder?

[cmb]

Aber zusammen mit der Version 1.6.2 ist alles safe, oder?

Ja, zumindest sind mir keine Sicherheitslücken bekannt.

[Der Zwerch]

Hallo,
Beruhigend. Es klang so, also ob es ein wenig Ärger unter Euch geben würde.

Offensichtlich möchte er nicht, dass ich Plugins für CMSimple schreibe.

Ob das auch andere Plugins von 3-magi.net betrifft, bin ich nicht bereit zu prüfen, ...

Aber beruhigend, wenn ich mit XH 1.6.2 erst einmal auf der sicheren Seite bin.

[cmb]

Es klang so, also ob es ein wenig Ärger unter Euch geben würde.

Die Sachlage ist so, dass ich mich bei einigen neueren meiner Plugins die Absicherung der Administration von einer Konstante abhängig gemacht habe, die erst unter CMSimple_XH 1.5.4 eingeführt wurde. Als Plugin-Entwickler hätte mir bewusst sein müssen, dass diese Absicherung unter PHP zu lasch ist (nicht definierte Konstanten werden in PHP als Zeichenketten interpretiert ) -- ich habe das aber schlichtweg übersehen , zumal ich meine Plugins i.d.R. nicht unter CMSimple teste.

Im Prinzip wäre das auch kein besonderes Problem gewesen, da ich im Handbuch (alias Hilfe-Datei) meiner Plugins eine CMSimple_XH Version als Voraussetzung angebe. Allerdings habe ich einerseits bei ein paar der betroffenen Plugins nur ein "UTF-8 kodiertes CMSimple_XH" gefordert, und andererseits verschiedentlich behauptet, dass die meisten (meiner) Plugins auch mit CMSimple 4.x kompatibel seien. Das war ein Fehler, da unter CMSimple (alle Versionen) und auch unter CMSimple_XH < 1.5.4, die besagte Konstante nicht definiert ist, und sich Anwender auf diese Weise eine arge Sicherheitslücke einfangen konnten.

Mir wurde dieses Problem erst am vergangen Sonntag bewusst, so dass ich es in http://cmsimpleforum.com/viewtopic.php? ... 783#p42180 angemerkt habe:

Ansonsten möchte ich hier explizit darauf aufmerksam machen, dass das Plugin nicht für den Betrieb unter CMSimple 4.x gedacht ist. Es scheint dort zwar zu funktionieren, aber Besucher können i.d.R. ohne Login auf die Pluginadministration zugreifen.

Nicht lange danach wurde unter http://cmsimple.org/forum/viewtopic.php?f=11&t=434 eine entsprechende Sicherheitsempfehlung veröffentlicht, die ursprünglich potentiell alle CMSimple_XH Plugins betraf. Daraufhin habe ich Gert per E-Mail angeschrieben (relevante CMSimple_XH Plugin-Entwickler per CC), wie ich das Problem, dass diese Plugins unter CMSimple eine Sicherheitslücke haben, zukunftssicher lösen könne (mit dem Vorschlag, dass in CMSimple 4.x die Konstanten CMSIMPLE_XH_VERSION et.al. nicht definiert sein sollten). Eine Antwort erfolgte nicht an mich, sondern nur an die auf die CC gesetzten Entwickler, und ich wurde in der Folge nur indirekt von einem dieser benachrichtigt, dass meine E-Mail als Erpressung angesehen werde.

Aufgrund der mangelnden Kooperation und der potentiellen Sicherheitslücken, sah und sehe ich mich gezwungen, meine Plugins für die Nutzung unter CMSimple zu sperren. Das ist für die Nutzer von CMSimple gewiss nicht schön (zumal einfache Lösungen möglich wären, meine Plugins auch unter diesem System sicher ausführen zu können), aber mir bleibt keine sinnvolle Alternative, zumal der Entwickler von CMSimple fälschlicherweise behauptet[1]:

Plugins von 3-magi.net sind eventuell unter CMSimple nicht sicher. Man kann ohne Login das Plugin Backend (Administration) aufrufen, das sind also Trojaner für CMSimple. Beispiele: Chess_XH und Wdir_XH.

Abgesehen davon, dass das für Chess_XH 1.0beta2 und Wdir_XH 1.0beta3 nicht stimmt, halte ich die Bezeichnung "Trojaner" für rein demagogisch, zumal ich nicht zuvor über die Sicherheitslücke informiert wurde, wie es eigentlich üblich ist.

Aber beruhigend, wenn ich mit XH 1.6.2 erst einmal auf der sicheren Seite bin.

Eine Garantie, dass ein Plugin (oder das CMS) keine Sicherheitslücke aufweist, kann kein vernünftiger Entwickler geben. Ich bemühe mich aber, Sicherheitslücken zu vermeiden, und, sollten sich solche einschleichen, diese zügig zu beheben, sobald sie mir gemeldet werden.

PS: [1] Gert hat inzwischen mitbekommen, dass ich einige der betroffenen Plugins aktualisiert habe, so dass die Sicherheitslücke bei diesen geschlossen ist, und das auch in besagtem Thread ergänzt (danke). Es ist aber wohl immer noch wenigstens ein Plugin im Umlauf[2], das die Sicherheitslücke aufweist; ich werde mich bemühen, noch heute die ausstehenden Sicherheitsupdates zu veröffentlichen.

PPS: [2] Das besagte Plugin ist Monorder_XH, welches nun ebenfalls gefixt wurde. Soweit ich erkennen kann, sind keine weiteren meiner Plugins von der Sicherheitslücke betroffen.

[Der Zwerch]

Hallo,
Das klingt alles irgendwie nicht nett

Wenn ich das alles richtig verstanden habe, so sind Deine Plugins für 'CMSimple_HX >1.5.4' "getestet" und für die anderen Versionen 'XH <1.5.4' sowie die anderen Versionen von CMSimple "ungetestet". Dort können(!) also Probleme entstehen.

Zukünftig kommen von Dir nur noch Plugins für die Versionen 'CMSimple 1.6.x'?

Irgendwie bricht gerade mein Bild von Euch hier zusammen. Ich dachte immer, es wäre 'eine' Entwicklergemeinschaft. Das klingt nicht schön. (Nein, ich ergreife keine Partei, für niemanden, da ich die Arbeit/Programmierung/den Background nicht kenne!! (nur am Rande für alle leseneden User hier)

Kann man bei den Plugins, egal wer sie erstellt, nicht eine Versionskontrolle einbauen? "Läuft nur mit CMSimple(_XH) > 'Versionsnummer'" ?

[svasti]

Ich dachte immer, es wäre 'eine' Entwicklergemeinschaft.

Es gab das originale CMSimple, und da man dort relativ leicht Verbesserungen einbauen könnten, taten das einzelne Nutzer (ich z.B.), und einige veröffentlichten diese abgeleiteten Versionen zum Nutzen der Allgemeinheit (z.B. CMSimple SE, was einige tolle Features hatte, z.B. Vorschau von Templates und Installation von Plugins aus zip-Verzeichnissen).

An der XH-Variante arbeiteten aber mehrere Leute, und diese Variante erhielt dementsprechend viele Verbesserungen. Bei der Mitarbeit gab es eine natürliche Fluktuation, einige hatten irgendwann andere Interessen oder fanden Gefallen an anderen CMSen. Dafür stießen neue Leute zum Kreis der Entwickler. Alles in ganz kleinem Rahmen versteht sich, es geht hier um eine Handvoll Leute.

Das es auch mal Meinungsverschiedenheiten gab, ist ja ganz natürlich. Nach Version 1.5.3 hat Gert seine eigene Variante veröffentlicht. Nun, warum nicht, es gab ja schon vorher verschiedene "Ein-Mann"-Varianten. Leute haben verschiedene Stärken und Vorlieben -- also haben sich die Systeme verschieden weiterentwickelt, und so manches passt nun nicht mehr zusammen.

[Der Zwerch]

Hallo,

Aus eigener Erfahrung: geschriebenes Wort hat leider keine Betonung. Daher sind die Posts/Äußerungen auch sehr leicht falsch zu verstehen. Ich fasse sie daher (wahrscheinlich) falsch auf.

Das soll jetzt keine lange Diskussion über das für/wider, pro/contra, Claustaler/Met werden

Die Hauptsache ist ja, dass die angreifbaren Plugins nach Möglichkeit geschlossen/gefixt werden.

[cmb]

Wenn ich das alles richtig verstanden habe, so sind Deine Plugins für 'CMSimple_HX >1.5.4' "getestet" und für die anderen Versionen 'XH <1.5.4' sowie die anderen Versionen von CMSimple "ungetestet". Dort können(!) also Probleme entstehen.

Die CMSimple_XH Versionen für die die Plugins geeignet sind, sind im Einzelfall dem Handbuch zu entnehmen, welches immer auch online eingesehen werden (entsprechende Links finden sich auf der Plugin-Seite). Im Zweifel also da immer nachschauen.

Zukünftig kommen von Dir nur noch Plugins für die Versionen 'CMSimple 1.6.x'?

Du meinst vermutlich CMSimple_XH 1.6.x. Ja, voraussichtlich. Zum einen bietet CMSimple_XH 1.6 ein paar nützliche Hilfsfunktionen, so dass ich in meinen Plugins diese nicht selbst programmieren muss, und zum anderen ist das End-Of-Life der CMSimple_XH 1.5 Serie gekommen, so dass es wenig sinnvoll ist, diese Version noch zu unterstützen. Bzgl. CMSimple 4.x gelten die selben Gründe wie für XH 1.5.x, und noch weitere (z.B. mangelnde Transparenz der Entwicklung).

Kann man bei den Plugins, egal wer sie erstellt, nicht eine Versionskontrolle einbauen? "Läuft nur mit CMSimple(_XH) > 'Versionsnummer'" ?

Darum ging und geht es ja gerade. Ich habe bei einigen früheren Plugins diese Versionskontrolle in den Plugin-System-Check integriert. Den kann ein Anwender aber leicht ignorieren ("och, was soll's, funktioniert doch auch hier"), und dann wäre z.B. die besagte Sicherheitslücke vorhanden. Daher habe ich das nun so gelöst, dass ein System mit einem Plugin, das für dieses System nicht geeignet ist, nicht ausgeführt werden kann, und statt dessen etwa folgende Meldung erscheint:

Wdir_XH detected an unsupported CMSimple_XH version.
Uninstall Wdir_XH or upgrade to a supported CMSimple_XH version!

So wird ein Anwender, der die Angaben im Plugin-Handbuch nicht gelesen oder ignoriert hat, direkt nach der Installation auf das Problem aufmerksam gemacht. Ich finde das eine sinnvolle Lösung, um Sicherheitslücken oder andere Inkompatibilitätsprobleme zu handhaben.

Ich dachte immer, es wäre 'eine' Entwicklergemeinschaft.

svasti hat diesen Punkt ja eigentlich schon beantwortet, aber ums etwas deutlicher zu machen: es gibt schon lange (eigentlich von Anfang an), wenig bis keine Absprachen zwischen der Entwicklung von CMSimple und CMSimple_XH. Das sind Systeme, deren Kern (= Grundsystem) von verschiedenen Entwicklergemeinschaften entwickelt wird.

[Der Zwerch]

Hallo,
Thx für die Erläuterungen. Bin wieder ein Stück schlauer