In allen aktuellen XWiki-Versionen wurde eine kritische Sicherheitslücke entdeckt, die es Angreifern erlaubt, Konfigurationsdaten auszulesen.
Wir empfehlen dringend ein Update auf die fehlerbereinigte Version 16.10.8.
Falls ein sofortiges Update nicht möglich ist, sollten Sie die Schwachstelle zumindest vorübergehend durch eine Anpassung Ihrer Webserver-Konfiguration absichern.
Anleitung:
Für Apache:
Ergänzen Sie Ihre Konfiguration um folgende Zeilen:
RewriteEngine On
RewriteCond %{QUERY_STRING} (\.|%2e|%2E)(\.|%2e|%2E)(\\|\/|%2F|%2f|%5C|%5c)
RewriteRule ^ - [F]
Konfiguration testen: sudo apache2ctl configtest
Webserver neu starten: sudo systemctl reload apache2
Für nginx:
Ergänzen Sie Ihre Konfiguration um:
if ($query_string ~* (.|%2e|%2E)(.|%2e|%2E)(\|/|%2F|%2f|%5C|%5c)) {
return 403;
}
Konfiguration testen: sudo nginx -t
Webserver neu laden: sudo systemctl reload nginx