Umbraco komt met veiligheidsupdate
Vandaag werd bekend dat er een ernstig beveiligingsprobleem is ontdekt in Umbraco CMS. Inmiddels is er door Umbraco HQ een beveiligingspatch uitgebracht, die wij 'as we speak' voor onze klanten met een supportcontract doorvoeren.
De ontwikkelaars van Umbraco HQ waarschuwen hun gebruikers voor een ernstig beveiligingsprobleem in een bibliotheek die wordt gebruikt door Umbraco CMS. Deze kwetsbaarheid kan leiden tot het lekken van privé-informatie. En dat wil je natuurlijk niet! We hebben de patch-releases inmiddels binnen en werken er keihard aan om de omgevingen van onze klanten veilig te houden.
Waar zit het lek?
Het beveiligingslek betreft de volgende versies van Umbraco:
4.11.9 - 4.11.10
6.0.6 - 6.2.6
7.0.0 - 7.15.3
8.0.0 - 8.5.4
Het beveiligingslek bestaat in een externe bibliotheek voor Umbraco, het Client Dependency Framework (CDF), versies 1.8.2.1 - 1.9.8. In de nieuwste versie van CDF; versie 1.9.9, is dit beveiligingslek al verholpen. Over het algemeen wordt natuurlijk aanbevolen dat je de allernieuwste versie van CDF gebruikt, zodat je weet dat je veilig bent en profiteert van de nieuwste bugfixes en prestatieverbeteringen!
Is mijn omgeving gecompromitteerd?
Maak je geen zorgen, Umbraco is er op tijd bij. Wanneer de omgeving wordt ge-update met de beveiligingspatch, is de omgeving weer vertrouwd en veilig.
In principe kan het beveiligingslek worden misbruikt door elke niet-geverifieerde gebruiker die bronnen aanvraagt op je openbare website. De bronnen die mogelijk kunnen worden bekeken, omvatten configuratiebestanden en andere gevoelige interne bestanden die niet bedoeld zijn voor openbare toegang. Maar er zijn geen indicaties dat dit in de praktijk al is gebeurd. Het lek kwam aan het licht tijdens penetratietests die regelmatig in opdracht van Umbraco worden uitgevoerd.
