Onderwerp: WHMCS 5.2.8 Vulnerability

Geupdate, nu ben ik weer enkele uurtjes veilig.

haha dit topic had ik nog niet gevonden, had zelf een "dubbel" topic aangemaakt: http://www.webhostingtalk.nl/beveili...#axzz2ijpBlWA9 (Security patches WHMCS, Hoeveel fouten zitten er in godsnaam nog in ?)

ik dacht echt een juweeltje van een cms gekocht te hebben.. Ik krijg inmiddels elke week van die veiligheidsupdates binnen.

Om een en ander te nuanceren, WHMCS is het laatste jaar natuurlijk heel hard gegroeid en heeft daarmee veel meer visability gehad. Voorheen werd WHMCS door 1 programmeur gebouwd, nu is daar vanuit cPanel een team van mensen opgezet om dit soort fouten eruit te halen. Het is alleen jammer dat er veel nog publiekelijk gepost wordt voordat het interne team het ontdekt. Ik verwacht nog wel een paar maanden veel patches, maar ook dat een en ander dan wel stabiel zal zijn.

Oorspronkelijk geplaatst door Dreas

Om een en ander te nuanceren, WHMCS is het laatste jaar natuurlijk heel hard gegroeid en heeft daarmee veel meer visability gehad. Voorheen werd WHMCS door 1 programmeur gebouwd, nu is daar vanuit cPanel een team van mensen opgezet om dit soort fouten eruit te halen. Het is alleen jammer dat er veel nog publiekelijk gepost wordt voordat het interne team het ontdekt. Ik verwacht nog wel een paar maanden veel patches, maar ook dat een en ander dan wel stabiel zal zijn.

Ik verwacht dat door de totaal verouderde code men steeds achter de feiten zal blijven hollen.

Oorspronkelijk geplaatst door mva graphics

ik dacht echt een juweeltje van een cms gekocht te hebben.. Ik krijg inmiddels elke week van die veiligheidsupdates binnen.

Als je WHMCS als cms gebruikt dan doe je toch iets verkeerd als je het mij vraagt .

Vraagje ... sinds de upgrade is er blijkbaar iets mis met de bestanden die toegevoegd worden door de klanten. Heeft iemand hier ook nog last van?

The Boss-> Welk CMS raad jij aan ?

Ik dacht met WHMCS 5 een geheel nieuw script te hebben wat het oude zou vervangen maar het is dus gewoon een soort van verjaardags versie "joepie we noemen het nu 5 en lanceren een nieuwe website editie"

Achja ik heb em nog niet in gebruik genomen als het écht zo erg is dan verkoop ik mijn licentie wel maar dan moet ik bij het alternatief wel overtuigd zijn dat het allemaal goed zit.

Oorspronkelijk geplaatst door mva graphics

The Boss-> Welk CMS raad jij aan ?

CMS = Content Management System (iets als WordPress, WHMCS heeft niet dergelijke editors)
CRM = Customer Relationship Management

Denk dat je dat door elkaar haalt. WHMCS is echter - naar mijn inzien - niet compleet genoeg om een volwaardig CRM te zijn.

Oorspronkelijk geplaatst door mva graphics

The Boss-> Welk CMS raad jij aan ?

Concrete 5

Kijk; ze willen wel iets doen volgens localhost:

Ik had de support benaderd en ze kwamen met hetvolgende antwoord(ik had het uitmijzelf niet over compensatie alleen dat ik me ongemakkelijk voelde met al die fouten en veiligheidskwesties:


Hi,
Thanks for contacting WHMCS support. Please accept my sincerest apologies for any inconvenience caused by these recent security updates. Rest assured that security remains a top priority for us, and we are committed to resolving any vulnerabilities should they be discovered.
All software will encounter security issues at one time or another, the true test I believe is how a company responds. Unlike some companies we believe in being open and honest and maintain a proven track record of issuing a patch mitigating the effects within hours of any issues being discovered. We believe this is preferable to sweeping the issue under the carpet or waiting days to issue an update.

Whilst we regrettably cannot offer compensation, we will be posting details of what steps we will be taking in the coming days on our blog, so please keep an eye on http://blog.whmcs.com for that announcement.

If we can be of any more assistance, please don't hesitate to get back in contact.

Al met al naar het schijnt gaat er dus iets gebeuren de komende dagen, ik ben zeer benieuwd.

Vermoedelijk een standaard antwoord. Als ik dit zo zie dan denk ik dat ze nu toch wel denken om een externe audit ed te doen of wellicht beter nog audit en rebuilden. Ik heb zelf ook contact opgenomen en ze gaven aan dat ze al lang audits doen. Daarop gaf ik de reactie hoe het mogelijk is om een aantal basis fouten te hebben na al die audits. Excuus is dat het nogal veel code is... Maar een externe audit zou er niet in zitten. Denk dat genoeg klanten nu hebben zitten zeuren om een audit.

Helaas is een overstap naar een ander systeem niet 1-2-3 gemaakt ondanks de import tools die beschikbaar zijn.


Ps mbt de compensatie; vermoedelijk is dit een standaard antwoord.

Nieuwe update: http://blog.whmcs.com/?t=80970

Response to Recent Security Events



Over the last few months, WHMCS has released an unusually high number of security related updates - more than we would have liked or than you would have expected.

We understand the inconvenience that these cause, and their severity.

We have tasked several staff members with doing an internal code audit which is now well underway, and they have already identified a number of items which were addressed in the last release. We plan to continue our internal audit and release further updates as required.

We will also be commissioning at least one additional external security audit, and introducing a Security Bounty Program. External security audits are not something that are new to us, however as a security audit alone is not a guaranteed solution, we will be increasing the frequency of both internal and independent external security audits being performed.

As mentioned above, we will also be launching a Security Bounty Program designed to reward those who find issues in our software and report them to us in a responsible and safe manner. In order to encourage this we will be offering free development licenses to security researchers and monetary rewards of up to $5000 per issue. Further details will be released about this in the near future.

These steps are just the start of our overall plans to proactively address your concerns. As we move forward additional announcements will be made.

We appreciate the trust that you put in us, and we intend to make sure that trust is not misplaced.


mattsig.png

Matt Pugh
Founder/CEO

ben benieuwd waar ze weer gaan mee komen.

wat is jullie mening, is WHMCS op dit moment stabiel en veilig genoeg om met een gerrust hart te gebruiken ?

----

We do not have a specific target date for the internal audit, but will have a sizable security release within 1-2 weeks. The internal audit does not provide any sort of guarantees and like any software WHMCS is subject to bugs and future security issues. We will continue to remain diligent on reviewing security and providing updates as they become available.

Regards,

Aaron

5.2.13 is zojuist gereleased.