Update: WoltLab Suite 5.2.6 / 3.1.14

  • Wir haben soeben Updates für unsere Produkte freigegeben:

    • WoltLab Suite 5.2.6
    • WoltLab Suite 3.1.14


    Stabilitäts- und Fehlerbehebungsversionen (auch bekannt als "minor releases"), beseitigen ausschließlich Fehler in der aktuellen Version und führen keine neuen Funktionen ein. Es wird ausdrücklich empfohlen diese Updates anzuwenden.

    Aktualisierung einer bestehenden Installation

    Öffnen Sie die Administrationsoberfläche und rufen Sie den Menüpunkt Konfiguration > Pakete > Pakete auflisten auf. Klicken Sie dann auf den Button Updates suchen, diesen finden Sie rechts oberhalb der Paketauflistung.

    Untersuchung aktueller Vorfälle von kompromittierten Foren

    Wir stehen mit einigen Kunden in Kontakt, deren Foren kompromittiert wurden, mit dem Ziel die Zugangsdaten von Benutzern zu erbeuten. Der Angreifer hat dabei einige Dateien verändert, mit dem Ziel Passwörter bei der Eingabe im Klartext abzufangen und zusätzlich eine Hintertür (engl. "backdoor") geschaffen, um sich zu einem späteren Zeitpunkt erneut Zugriff zu verschaffen. Die jetzt veröffentlichten Updates überschreiben die modifizierten Dateien restlos mit der jeweiligen Originalfassung.


    Die erbeuteten Passwörter wurden in der dafür eigenes vom Angreifer angelegten Spalte logToken in der Datenbanktabelle wcf1_user abgelegt. Das Update entfernt diese Daten, in dem etwaig hinterlegte Werte mit der Zeichenkette compromised überschrieben werden. Bei Benutzern, die nicht betroffen sind, ist der Wert einfach leer.


    Sollten Sie Fragen dazu haben oder Hilfe benötigen, wenn Ihre Seite ebenfalls betroffen war, so wenden Sie sich bitte direkt an uns, wir helfen Ihnen gerne weiter.

    Wie hat der Angreifer Zugriff erlangt?

    Die Untersuchungen der betroffenen Seiten deuten bislang stark darauf hin, dass sich der Angreifer, mit Hilfe von zuvor anderweitig gestohlenen Zugangsdaten, direkt an die Administrationsoberfläche angemeldet hat. Wir können es nicht genug betonen: BITTE VERWENDEN SIE NICHT DIE SELBEN PASSWÖRTER AUF UNTERSCHIEDLICHEN WEBSITES! SIE GEFÄHRDEN DAMIT SICH UND IHRE COMMUNITY!

    Bedeutende Änderungen

    Bitte beachten Sie, dass die unten stehende Liste nur die wichtigsten Änderungen enthält. Kleinere Korrekturen (u.a. Tippfehler) werden nicht separat aufgeführt.


    WoltLab Suite Blog

    • Die Erkennung von Erwähnungen basierte auf einem ineffizienten API-Aufruf und arbeitet nun deutlich schneller. 3.1 5.2
    • Numerische Werte wurden beim Import nicht immer korrekt erkannt. 3.1 5.2
    • Der Button für Reaktionen wurde unabhängig von den Berechtigungen angezeigt. 5.2

    WoltLab Suite Calendar

    • Numerische Werte wurden beim Import nicht immer korrekt erkannt. 3.1 5.2
    • Einige Fremdschlüssel wurden beim Upgrade von der Version 3.1 nicht korrekt im SQL-Log eingetragen. 5.2
    • Die AMP-Version von Terminen wurde entfernt. 5.2

    WoltLab Suite Filebase

    • Beim Bearbeiten von Rezensionen wurden unbeabsichtigt Einträge im Änderungsprotokoll von Dateien angelegt. 5.2
    • Die AMP-Version von Dateien wurde entfernt. 5.2
    • Numerische Werte wurden beim Import nicht immer korrekt erkannt. 5.2

    WoltLab Suite Gallery

    • Wenn die Suche nach Bildern erfolglos war, wurde eine unpassende Fehlermeldung angezeigt. 3.1 5.2
    • Die Erkennung von Erwähnungen basierte auf einem ineffizienten API-Aufruf und arbeitet nun deutlich schneller. 3.1 5.2
    • Numerische Werte wurden beim Import nicht immer korrekt erkannt. 3.1 5.2

    WoltLab Suite Forum

    • Beim Kopieren von Foren wurde die Einstellung für private Themen nicht übernommen. 3.1 5.2
    • Die Erkennung von Erwähnungen basierte auf einem ineffizienten API-Aufruf und arbeitet nun deutlich schneller. 3.1 5.2
    • Moderatoren konnte Beiträge nicht in Foren kopieren oder verschieben, die aus der Forenliste ausgeblendet wurden. 3.1 5.2
    • Numerische Werte wurden beim Import nicht immer korrekt erkannt. 3.1 5.2
    • Beim Kopieren von Foren wurde die Einstellung für die besten Antworten nicht übernommen. 5.2
    • Die AMP-Version von Themen wurde entfernt. 5.2
    • Fehlerhafte Eingaben beim Erstellen eines Themas konnten dazu führen, dass die Eingaben des Themenformulars verloren gingen. 5.2

    WoltLab Suite Core: Conversations

    • Die Anzeige der letzten Aktivität eines Nutzers konnte indirekt unsichtbare Teilnehmer in eigenen Konversationen preisgeben. 3.1 5.2
    • Konversationsnachrichten werden nun aus Sucherergebnissen herausgehalten, wenn die Berechtigungen entzogen wurden. 3.1 5.2

    WoltLab Suite Core

    • Numerische Werte wurden beim Import nicht immer korrekt erkannt. 3.1 5.2
    • Beim Bearbeiten eines Nutzers mit Profilfoto, dass der Nutzer aber nicht sehen darf, wurde es unbeabsichtigt gelöscht. 3.1 5.2
    • Trophäen konnten unter bestimmten Umständen mehrfach vergeben werden. 3.1 5.2
    • ImageMagick-Unterstützung für die Bildverarbeitung
      • Einige Vorschaugrafiken wurden mit zu großen Abmessungen generiert. 3.1 5.2
      • Die Normalisierung von Bilddrehungen entsprechend der EXIF-Daten wurde ohne Korrektur der EXIF-Informationen durchgeführt. 3.1 5.2
      • Die Position von eingefügtem Text wurde in einigen Fällen falsch berechnet. 3.1 5.2
      • Die Schriftgröße wurde als pt interpretiert, hätte aber als px berechnet werden sollen. (Die Dokumentation auf php.net ist irreführend). 3.1 5.2
    • Beim Scrollen eines Tab-Menüs unter iOS konnte es dazu kommen, dass die Menüpunkte kurzzeitig nicht mehr reagierten. 3.1 5.2
    • Alte Einträge in der Moderation wurden unter bestimmten Umständen nicht entfernt. 3.1 5.2
    • Die Protokollierung von Suchbegriffen konnte auf Grund eines Race Condition zu einem Fehler führen. 5.2
    • Beschreibungen von Kategorien unter Verwendung von HTML wurden an einigen Stellen fehlerhaft angezeigt. 5.2
    • Die dynamische Skalierung von Bildern im Browsern arbeitete auf Grund eines Fehlers in Chrome 81 fehlerhaft. 5.2
    • Der Tooltip für Zitate ist auf mobilen Geräten nicht länger markierbar. 5.2
    • Veraltete <font>-Elemente, die durch einige Browser eingefügt werden, werden nun korrekt umgewandelt. 5.2
    • Die Interaktion mit dem Hauptmenü wurde auf übergrößen Android-Tablets verbessert. 5.2
    • Die Sortierung von Trophäen funktionierte auf mehrseitigen Auflistungen nicht korrekt. 5.2

    Alexander Ebert
    Senior Developer WoltLab® GmbH