WBCE 1.1.11 - Doch noch ein Update
Unverhofft kommt oft. Am 24.01.2017 erreichte uns eine Mail vom " JPCERT/CC Vulnerability Handling Team". (Wenn Ihr noch nichts von denen gehört hattet: ich auch nicht; aber das ist tatsächlich eine teilstaatliche japanische Instution für IT-Sicherheit.) In der (glücklicherweise englischsprachigen) Mail stand zunächst nur der vage Hinweis, man habe verschiedene Sicherheitslücken in WBCE gefunden, und wir mögen doch schnellstmöglich einen Ansprechpartner benennen, dann würde man uns entweder eine verschlüsselte Mail mit der Beschreibung der gefundenen Schwachstellen zukommen lassen, oder, wenn keine verschlüsselten Mails möglich seien, einen passwortgeschützten Download der jeweiligen Beschreibungen bereitstellen.
Natürlich haben wir sofort reagiert und die Problembeschreibungen angefordert. Die haben es leider in sich, sind also berechtigt. Wir, d.h. im wesentlichen unser Chefentwickler Norbert Heimsath, mit Unterstützung von Communitymitglied cwsoft, haben dann die beschriebenen Probleme analysiert - und (fast) alles stehen und liegen gelassen, um selbige zu beheben.
Im Zuge dessen hat sich dann herausgestellt, dass auch doch noch so die eine oder andere Problemstelle bestand, die auch besser gestern als heute zu fixen war. Nach etlichen internen Tests und Abstimmungen konnten wir dann heute, am 12.02.17, eine Version releasen, in der diese Fehler beseitigt sind.
Das heißt: WBCE 1.1.11 hat also keine neuen Features, und zur Wahrung der Konsistenz sind verschiedene Module und jQuery noch auf dem "alten" Stand (CKEditor 4.4.8, Topics 0.9.1, jQuery 1.7.1) - denn es ging hier ausschließlich um das Fixen der Sicherheitslücken und nichts anderes. Updates an den genannten Modulen (und noch so einiges mehr) wird es also erst in der Version 1.2 geben, in deren Entwicklung natürlich ebenfalls die aktuellen Sicherheitsverbesserungen eingeflossen sind.
Um Euch das Update so einfach wie möglich zu machen, gibt es neben dem üblichen Installer auch ein Patch-Paket, das den problemlosen Umstieg von WBCE >= 1.1.3 auf 1.1.11 ermöglicht. Für ältere WBCE-Versionen (oder auch WebsiteBaker) steht wie gewohnt das Upgrade-Script bereit.
Jetzt ist es an Euch. Bitte verwendet ab sofort nur noch die 1.1.11, macht ein Update, spielt den Patch ein. Glaubt mir: wir haben das nicht aus Langeweile gemacht, und wir hätten uns auch lieber ausschließlich auf WBCE 1.2 konzentriert. Aber der Teufel ist eben ein Eichhörnchen *.
Infos im Forum (auch ohne Anmeldung erreichbar)