Umbraco sikkerhedsopdatering

Vi har alle øjne rettet på en kommende opdatering til Umbraco, der lukker en sikkerhedsbrist, man for nyligt har fået kendskab til.

Sikkerhedsopdatering

I fredags meddelte Umbraco-teamet, at man har fundet en sikkerhedsbrist, der kan lede til blotlæggelse af private informationer for alle Umbracosites, der kører på version 4.11.9 eller senere. Det betyder også, at man er ved at lave en patch, der skal lukke ned for denne sikkerhedsbrist, og allerede torsdag d. 20/9 frigives denne patch.
Umbraco har ikke frigivet yderligere informationer om hvad bristen specifikt går ud på, da man gerne vil holde kortene så tæt til kroppen som muligt; de har i skrivende stund endnu ikke fået meldinger om, at bristen er opdaget i det åbne miljø, så der er altså tale om en brist, man selv har fundet hos Umbraco, og dermed kan lukke igen med minimale skadesvirkninger.
Hos Kruso har vi alle øjne rettet mod frigivelsen af denne patch, og vi sidder klar til at opdatere alle Umbracosites, hvor dette er nødvendigt. Da vi ikke kender omfanget før torsdag, kan vi ikke sige så meget mere, end at vi sidder klar til at opdatere, så snart vi har fået af vide, hvad omfanget af bristen er.
Denne blogpost opdateres i løbet af torsdag d. 20/9, når Umbraco har frigivet patchen.
Læs Umbracos beskrivelse af sikkerhedsbristen her.

 

Update d. 20/9

Umbraco har netop frigivet deres sikkerhedsopdatering, samt beskrevet bristen mere præcist: Uautoriserede personer kan skaffe sig adgang til private oplysninger gennem dette sikkerhedshul, samt afvikle kommandoer og dermed forsøge at hacke besøgende. Hos Kruso er vi i fuld gang med at opdatere alle løsninger, så hullet lukkes med det samme. Dermed vil alle Umbraco-løsninger blive rullet ud i løbet af den kommende tid, hvor hullet således er lukket fremadrettet.
Det skal understreges at dette hul, er noget Umbraco selv har fundet, gennem en privat test, og det derfor ikke er set udnyttet i åbent miljø, hvorfor man ikke har kendskab til nogen offentlige sites, der er berørt af det. Men som så ofte set, er det kun et spørgsmål om tid, før dette sker. Derfor vælger vi at lukke disse huller på alle Umbraco-løsninger, som Kruso har lavet så hurtigt som muligt.
Eventuelle spørgsmål til dette, er meget velkomne.
Læs mere her.

Wanna talk?

Project Manager

Telefon: +45 5386 1553

Mail: marie@kruso.dk