Anmelden
Ich möchte für die nächsten 30 Tagen angemeldet bleiben
Deutsch
Several pages in the usergroup are available in English. Click on english to visit these pages.

DotNetNuke News

Wichtiger Sicherheits-Patch für DNN 6.2.0 - 9.0.1 verfügbar (Sebastian Leupold)
Soeben hat DNN Corp einen Sicherheits-Fix für DNN Versionen 6.2.0 bis 9.0.1 veröffentlicht (der Link führt direkt zum Download). Dieser Patch kann wie ein Modul installiert werden und erstellt eine neue Seite im System-Menü, die den Patch-Status zeigt.
Was ist das Problem?
In den betroffenen Versionen können die bei der Registrierung gemachten Angaben von allen Benutzern ohne Berechtigungsprüfung abgerufen werden. Dies betrifft zumindest Benutzername und E-Mail-Adresse, bei individuellem Registrierungsformular können auch weitere Angaben betroffen sein. Betroffen sind teilweise auch Registrierungsmodule von Drittanbietern. Das Kennwort kann dabei nicht abgerufen werden unberechtigter Zugriff auf DNN ist nicht möglich. 
Wie kann ich testen, ob ich betroffen bin?
Das können wir aus verständlichen Gründen nicht verraten, aber jeder, der eine der genannten Versionen von DNN oder Evoq einsetzt, sollte den Patch anwenden oder auf DNN/Evoq 9.0.2 upgraden (Vorsicht beim upgrade von DNN 8 und früher, nicht alle Funktionen werden bereits in DNN 9 unterstützt).
Wie funktioniert der Patch?
Die notwendige Änderung wird bei der Installation vorgenommen, eine neue Seite im Systemmenü zeigt an, ob der Patch erfolgreich angewendet werden konnte oder ob ein Drittanbieter-Modul verwendet wird, das nicht geprüft werden kann. In diesem Fall sollte zügig Kontakt mit dem Modulhersteller aufgenommen werden.
Vor der Installation sollten Datenbank und Dateien gesichert werden!
Weitere Fragen?
Bei weiteren Fragen stehen dnnWerk (support@dnnwerk.de) und das Security-Team von DNN (security@dnnsoftware.com) gerne zur Verfügung.


Kommentare: 1

Michael Tobisch meint

Also ich glaube, so viel kann man verraten: Nicht betroffen ist man, wenn man "keine" Benutzerregistrierung hat (Benutzer also nur von einem Administrator angelegt werden können).
# 23.02.2017 16:09