Security-Fixes für WebStorm, PhpStorm & weitere IntelliJ-IDEs

Grund für die Update-Welle der JetBrains-IDEs sind zwei in der IntelliJ-Plattform gefundene kritische Schwachstellen, die nicht nur aktuelle Versionen der verschiedenen IntelliJ-basierten Entwicklungsumgebungen sondern auch ältere Versionen der IDEs betreffen. Auch für diese stehen entsprechende Patches bereit. Eugene Toporov hat die wichtigsten Informationen zu den Schwachstellen in einem Blogpost zusammengefasst.

Schwachstellen in der IntelliJ-Plattform

In der IntelliJ-Plattform, die die Basis für die von JetBrains entwickelten Entwicklungsumgebungen wie WebStorm, PhpStorm oder IntelliJ IDEA bildet, wurden kürzlich zwei kritische Sicherheitslücken entdeckt. Dabei betreffen die Schwachstellen nicht nur die aktuellsten Versionen, sondern treten in verschiedenen Formen auch in älteren IDE-Versionen auf. Das Update auf die aktuellen Versionen wird darum allen Usern dringend empfohlen.

Bei den gefundenen Schwachstellen handelt es sich zum einen um eine Cross-Site-Request-Forgery-Schwachstelle im built-in Webserver der IDE, die Angreifern den Zugriff auf lokale Dateisysteme von einer böswilligen Webpage aus ermöglicht, ohne dafür die Zustimmung des Users zu benötigen. Zum anderen wurde eine Internal-RPC-Schwachstelle gefunden. Hierbei ermöglichen es Over-Permission-CORS-Einstellungen Angreifern, böswillige Websites für den Zugriff auf verschiedene interne API-Endpunkte zu nutzen. Damit können diese sensitive Meta-Informationen sammeln oder neue Projekte öffnen.

Mehr Informationen zu den Schwachstellen bietet der oben genannte Blogpost; dort findet sich auch eine Übersicht aller betroffenen IDEs und IDE-Versionen sowie ein FAQ, in dem die wichtigsten Fragen zum Update beantwortet werden.

Frameworkless – the new black?

by Carsten Windler (KW-Commerce GmbH)

Getting started with PHP-FFI

by Thomas Bley (Bringmeister GmbH)

JSON-Schema von 0 auf 100

by Ingo Walther (Electronic Minds GmbH)

Interview mit Christian Schneider zum Thema „DevSecOps“

DevSecOps ist, bezogen auf Security-Checks, die logische Fortführung der Automatisierung im DevOps-Sinne

IT-Security Experte, Christian Schneider

Christian ist als freiberuflicher Whitehat Hacker, Trainer und Security-Coach tätig. Als Softwareentwickler mit mittlerweile 20 Jahren Erfahrung, fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security.

PhpStorm 2016.1.1 sorgt für einige Verbesserungen

Neben den oben bereits angesprochenen Security-Fixes bringt die neue PhpStorm-Version PhpStorm 2016.1.1 auch einige Bug-Fixes mit sich. Darüber hinaus wurden der beliebten IDE mit diesem Maintenance-Release auch einige Verbesserungen spendiert, etwa Smart-Completion für Funktionsargumente, Werte für Konstanten und Namespaces für Funktionen in der Completion-List sowie eine überarbeitete Anordnung der Completion-List.

Außerdem bringt PhpStorm 2016.1.1 auch Support für neue Blade-Tags, einen ersten Support für Joomla! sowie ein neues Time-Tracking-Plugin mit sich. Alle Änderungen sind in den Release Notes zusammengefasst; das Update steht auf der Produktwebsite zum Download zur Verfügung.

WebStorm 2016.1.2 bringt viele Bug-Fixes mit sich

Auch von WebStorm ist mit WebStorm 2016.1.2 eine neue Version erschienen. Im Gepäck hat das Update neben den wichtigen Security-Fixes vor allem zahlreiche Bug-Fixes, aber auch einige kleinere Verbesserungen wurden der neuen IDE-Version spendiert. Dazu gehört etwa ein Fix für den Support des Debuggings mit der kürzlich erschienenen aktuellen Node-Version Node.js v6.0. Wer auf Fixes für den Angular-2-Support gewartet hat, muss sich allerdings, so erklärt Ekaterina Prigara, noch ein wenig gedulden: die erwarteten Fehlerbehebungen haben es noch nicht in diesen WebStorm-Build geschafft.

Auch hier sind alle Änderungen noch mal übersichtlich in den Release Notes zusammengefasst; WebStorm 2016.1.2 steht auf der Produktwebsite zum Download zur Verfügung.