Für das Freie (GPL-Lizenz) Open Source Foswiki wurde ein umfangreiches Wartungs-Release vorgelegt, das insbesondere die Sicherheit dieser Wiki-Software härten soll.
Mitte Februar hatte Foswiki eilig einen Hotfix für die Schwachstelle mit der Bezeichnung CVE-2012-1004 herausgegeben. CVE-2012-1004 betraf die Registrierung neuer Wiki-Benutzer (ungefilterte Variablenübernahme) und wurde in die Foswiki-eigene niedrigste Risikoklasse 3 kategorisiert. Betroffen waren alle Foswiki-Versionen. Diese Sicherheitslücke wurde mit dem nun vorliegenden Update nachhaltig geschlossen.
Mehr als 120 weitere Bugs wurden behoben. Ferner wurde die Version 3.4.6 des TinyMCE Editor eingespielt, und Fehlermeldungen im Registrierungsprozess werden nun in der jeweils gewählten Benutzersprache ausgegeben.
Administratoren sollten sich mit dem Update intensiver befassen. Beispielsweise gibt es weitreichende Veränderungen im .htpasswd-Handling. Unbedachte Veränderungen von Grundeinstellungen im Backend könnten zur Zerstörung von Passwörtern führen. Auch an der Foswiki API wurde geschraubt: Die zuvor nicht mehr empfohlene Funktion getScriptUrlPath() wird nun wieder unterstützt und wurde dahingehend verbessert als ihr Aufruf nun konsistent mit Foswiki::Func::getScriptUrl() ist. Wesentliche Unterschiede zur Version 1.1.4 betreffen beispielsweise auch die Erzeugung von Statistiken und Log-Files sowie das Session-Management in gemischten http/https-Umgebungen. (Update 13.4.2012: siehe untenstehenden ergänzenden Kommentar).
Weiterführende Links
- Official Foswiki Blog: Foswiki 1.1.5 released
- Foswiki Download Web: Foswiki Release 1.1.5
- Foswiki Support Web: SecurityAlert-CVE-2012-1004
- Foswiki Release History: Foswiki Release 1.1.5
