Meldung/Log4Shell und Handbuch:Vorlagen: Unterschied zwischen den Seiten

Version vom 19. Januar 2022, 17:39 Uhr

Was ist eine Vorlage?[Bearbeiten | Quelltext bearbeiten]

Eine Vorlage stellt im Wiki wiederverwendbaren Inhalt bereit. Dieser wird dann in zahlreiche Seiten des Wikis eingebunden. Die Vorlage kann inhaltsbasiert (Textvorlage) oder strukturbasiert (Layoutvorlage) oder eine Kombination aus beiden sein.

Ein typisches Beispiel ist eine Infobox, die auf allen Seiten identisch aussieht formatiert ist. Auf den Wikiseiten wird dann der jeweilige Inhalt hinzugefügt.

Beispiel einer Infobox-Vorlage

Eine Vorlage kann auch als Quelle für eine Seitenvorlage verwendet werden.

Eigenschaften einer Vorlage[Bearbeiten | Quelltext bearbeiten]

Merkmale einer Vorlage:

Quelltextansicht einer eingebundenen Vorlage
ermöglicht das Einfügen von wiederverwendbaren Inhalten mit einem Platzhalter (Transklusion)
befindet sich normalerweise im Namensraum "Vorlage"
kann Parameter haben
enthält oft Logik
wird verwendet, um ein "Look and Feel" beizubehalten

Eine Vorlage erstellen und einbinden[Bearbeiten | Quelltext bearbeiten]

Eine neue Vorlage wird immer im Namensraum Vorlage erstellt.

Eine Vorlage wird in eine Seite eingefügt, indem der Name der Vorlage im Quelltext in zwei geschweifte Klammern gesetzt wird: {{NotificationBox}}. Die Vorlage kann auch direkt über die Editorleiste eingefügt werden.

Eine Vorlage bearbeiten[Bearbeiten | Quelltext bearbeiten]

Änderungen an einer Vorlage wirken sich auf alle Seiten aus, die diese Vorlage enthalten. Bevor Sie vorhandene Vorlagen ändern, sollten Sie überprüfen, auf welchen Seiten die Vorlage verwendet wird. Um diese Seiten zu finden, klicken Sie in den Seitenwerkzeugen auf ...alle Aktionen > Links auf diese Seite.

Eingebaute Variablen[Bearbeiten | Quelltext bearbeiten]

Jedes MediaWiki hat eine Reihe von eingebaute Variablen, die keine Seiten im Namensraum "Vorlage" sind, aber dennoch als Vorlagen verwendet werden.

Beispielsweise gibt die Variable {{CURRENTTIME}} die aktuelle UTC-Zeit zurück.

Parameter über TemplateData beschreiben[Bearbeiten | Quelltext bearbeiten]

Die MediaWiki-Erweiterung TemplateData erlaubt es, die Vorlagen-Parameter so zu beschreiben, dass sie von Benutzern im Visual Editor leicht über ein Formular bearbeitet werden können.

Vorlage formatieren[Bearbeiten | Quelltext bearbeiten]

Wenn eine Vorlage besonders formatiert werden soll, z.B. mit Hintergrundfarbe, Textabstand oder besonderer Schriftformatierung, kann dies über MediaWiki:Common.css erreicht werden. Die Formatierungen sind somit für andere Vorlagen mehrfach verwendbar. Sind die Formatierung speziell auf diese Vorlage beschränkt, werden sie über eine Unterseite der Vorlage über das Tag TemplateStyles angelegt. Dies hat zum Vorteil, dass die Stilvorgaben zusammen mit der Vorlage leicht exportiert und in ein anderes Wiki importiert werden können.

Weitere Hinweise[Bearbeiten | Quelltext bearbeiten]

Die Verwendung einer Vorlage ist im Grunde eine Transklusion. Es ist auch möglich, Seiten als Vorlagen zu verwenden, die sich nicht im Namensraum "Vorlage" befinden. Dies sollte jedoch mit Bedacht erfolgen, da einige Funktionen erfordern, dass sich die Seiten im Vorlagen-Namensraum befinden.
Vorlagen können auch verwendet werden, um die Ausgabe von semantic query zu definieren. Weitere Informationen finden Sie unter Semantic MediaWiki. (Dies ist ein Beispiel, bei dem sich die Seiten unbedingt im Vorlagen-Namensraum befinden müssen.)
Die vollständige Liste aller Seiten des Wikis, die sich in diesem Namensraum befinden, finden Sie auf der Seite Spezial:Vorlagen.

Weiterführende Links

Feedback zur Dokumentation ist im Community-Forum möglich.

@@ Zeile 1: / Zeile 1: @@
-{{Featureseite|featured=wahr|featuredesc=Wichtige Hinweise zur log4j Sicherheitslücke.|featurestart=22.12.2021}}
+==Was ist eine Vorlage?==
-==Anlass==
-Aktuelle log4j Sicherheitslücke.
-*[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=95F784B3CFE46DE89B51FC06804C4AEA.internet081 BSI Meldung vom 12.12.2021 (CVE-2021-44228)]
+<section begin="training-intro" />
-==Berwertung der Schwachstellen in BlueSpice==
+Eine Vorlage stellt im Wiki wiederverwendbaren Inhalt bereit. Dieser wird dann in zahlreiche Seiten des Wikis eingebunden. Die Vorlage kann inhaltsbasiert (Textvorlage) oder strukturbasiert (Layoutvorlage) oder eine Kombination aus beiden sein.
-*BlueSpice free, pro, farm
+Ein typisches Beispiel ist eine Infobox, die auf allen Seiten identisch aussieht formatiert ist. Auf den Wikiseiten wird dann der jeweilige Inhalt hinzugefügt. <section end="training-intro" />
-**[[#Detaillierte Bewertung|Aktuelle on-Premise Installationen]] => <span class="col-turquoise">'''nicht betroffen'''</span>
+[[Datei:Handbuch:vorlage.png|alternativtext=Beispiel einer Infobox-Vorlage|zentriert|mini|750x750px|Beispiel einer Infobox-Vorlage]]
-**[[#Ältere Versionen von BlueSpice 3|Ältere on-Premise Installationen]] => <span class="col-red">'''Elasticsearch könnte verwundbar sein'''</span>
-**[[#Geprüfte Komponenten im Docker-Image|Docker-Version]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-*[[#BlueSpice Cloud|BlueSpice Cloud]]  =>  <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-Dies gilt für die von uns installierten Instanzen. <span class="col-red">'''Kunden müssen ihren Teil der Installation überprüfen'''</span> (d.h. Betriebssystem, zusätzliche Pakete, etc.)
-==Detaillierte Bewertung==
+Eine Vorlage kann auch als Quelle für eine [[Referenz:BlueSpicePageTemplates|Seitenvorlage]] verwendet werden.
-===Aktuelle Version===
+==Eigenschaften einer Vorlage==
+Merkmale einer Vorlage:<!-- Übertragen in Schulungsunterlagen! -->
+<section begin="training" />
+*[[Datei:Handbuch:vorlage-beispiel.png|alternativtext=Quelltextansicht einer eingebundenen Vorlage|mini|400x400px|Quelltextansicht einer eingebundenen Vorlage]]ermöglicht das Einfügen von wiederverwendbaren Inhalten mit einem Platzhalter (Transklusion)
+*befindet sich normalerweise im Namensraum "Vorlage"
+*kann Parameter haben
+*enthält oft Logik
+*wird verwendet, um ein "Look and Feel" beizubehalten
+<section end="training" />
+==Eine Vorlage erstellen und einbinden==
+Eine neue Vorlage wird immer im Namensraum Vorlage erstellt.
-*'''Elasticsearch''' => <span class="col-turquoise">'''nicht verwundbar'''</span><br />https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
+Eine Vorlage wird in eine Seite eingefügt, indem der Name der Vorlage im Quelltext in zwei geschweifte Klammern gesetzt wird: <code><nowiki>{{NotificationBox}}</nowiki>.</code> Die Vorlage kann auch direkt über die Editorleiste eingefügt werden.
-*'''Java-Server'''
-**Tomcat => explizite Konfiguration von log4j erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-**Jetty => explizite Konfiguration von jetty erforderlich. Im Standard ist log4j nicht aktiviert. Wir ändern das nicht => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-*'''Java Webservices'''
-**xhtmlrenderer => es gibt ein log4j Plugin, aber es wird in unserem Service nicht benutzt => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-**VisualDiff => benutzt daisydiff + andere. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-**LaTeX2png => benutzt jlatexmath Bibliothek. Benutzt kein log4j => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-*'''Draw.io''' meldet, dass die Anwendung nicht betroffen ist: <br />https://twitter.com/drawio/status/1470061320066277382  => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span>
-===Ältere Versionen von BlueSpice 3===
+==Eine Vorlage bearbeiten==
+Änderungen an einer Vorlage wirken sich auf alle Seiten aus, die diese Vorlage enthalten. Bevor Sie vorhandene Vorlagen ändern, sollten Sie überprüfen, auf welchen Seiten die Vorlage verwendet wird. Um diese Seiten zu finden, klicken Sie in den Seitenwerkzeugen auf <code>...alle Aktionen > Links auf diese Seite</code>.
-*'''Elasticsearch''' => <span class="col-turquoise ve-pasteProtect">'''nicht verwundbar'''</span><br /> https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476
+==Eingebaute Variablen==
-**'''Versionen 6.8.9+''' (Release:13. Mai 2020) => <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span>
+Jedes MediaWiki hat eine Reihe von [[Manual:MagicWords|eingebaute Variablen]], die keine Seiten im Namensraum "Vorlage" sind, aber dennoch als Vorlagen verwendet werden.
-**'''Version 6.4.0 - 6.8.8''': Eine Konfigurationsänderung und ein Serverneustart sind empfohlen.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar'''</span> <span class="col-turquoise ve-pasteProtect">'''(Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>   <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von Bluespice verwundbar</span>'''
-**'''Versionen ≤ 6.3.x''': Ein Update von Elasticsearch ist empfohlen. Bitte kontaktieren Sie unseren Support.  <br />=> <span class="col-turquoise ve-pasteProtect">'''nicht'''</span> <span class="col-turquoise ve-pasteProtect">'''verwundbar (Aktualisierung beim nächsten Update von BlueSpice wird empfohlen)'''</span>    <br />=> '''<span class="col-red ve-pasteProtect">nur außerhalb von Bluespice verwundbar</span>'''
-Unabhängig von der verwendeten ElasticSearch-Version ist BlueSpice aufgrund der Einrichtung von ElasticSearch nicht verwundbar:
+Beispielsweise gibt die Variable <tt><nowiki>{{CURRENTTIME}}</nowiki></tt> die aktuelle UTC-Zeit zurück.
-*'''Kein direkter Zugriff:''' BlueSpice verwendet ElasticSearch als internen Service. Die einzige Möglichkeit auf ElasticSearch zuzugreifen, wenn Sie nicht direkt auf dem Server arbeiten, ist über BlueSpice. Das bedeutet, dass es einen sehr kontrollierten Satz von Zugriffsvektoren gibt. Dies sind Suchanfragen und Inhalte, die indiziert werden sollen.
+==Parameter über TemplateData beschreiben==
+Die MediaWiki-Erweiterung [[Manual:Extension/TemplateData|TemplateData]] erlaubt es, die Vorlagen-Parameter so zu beschreiben, dass sie von Benutzern im Visual Editor leicht über ein Formular bearbeitet werden können.
-*'''Keine Protokollierung von Daten:''' Wir verwenden bei ElasticSearch das Log-Level WARN, d. h. keine Daten können den Weg in die Logs finden. Ein Angreifer kann also keine benutzerdefinierten Informationen zu den Protokollen hinzufügen.
+==Vorlage formatieren==
+Wenn eine Vorlage besonders formatiert werden soll, z.B. mit Hintergrundfarbe, Textabstand oder besonderer Schriftformatierung, kann dies über MediaWiki:Common.css erreicht werden. Die Formatierungen sind somit für andere Vorlagen mehrfach verwendbar. Sind die Formatierung speziell auf diese Vorlage beschränkt, werden sie über eine Unterseite der Vorlage über das Tag [[Manual:Extension/TemplateStyles|TemplateStyles]] angelegt. Dies hat zum Vorteil, dass die Stilvorgaben zusammen mit der Vorlage leicht exportiert und in ein anderes Wiki importiert werden können.
-*'''Keine Weitergabe von Benutzerdaten:''' Die gesamte Kommunikation zwischen BlueSpice und ElasticSearch erfolgt benutzerunabhängig. ElasticSearch kann nicht erkennen, welcher Benutzer die Kommunikation auslöst. Der User-Agent ist auf den BlueSpice-Systembenutzer beschränkt.
+==Weitere Hinweise==
-Dies gilt selbst dann, wenn Sie eine ältere, anfällige Version von ElasticSearch verwenden. Wir sehen daher keinen dringenden Handlungsbedarf. Wir empfehlen,  ElasticSearch mit dem nächsten Update von BlueSpice auf eine nicht angreifbare Version zu aktualisieren.
+*Die Verwendung einer Vorlage ist im Grunde eine [[Manual:Transklusion|Transklusion]]. Es ist auch möglich, Seiten als Vorlagen zu verwenden, die sich nicht im Namensraum "Vorlage" befinden. Dies sollte jedoch mit Bedacht erfolgen, da einige Funktionen erfordern, dass sich die Seiten im Vorlagen-Namensraum befinden.
+*Vorlagen können auch verwendet werden, um die Ausgabe von [https://www.semantic-mediawiki.org/wiki/Help:embedded_query semantic query] zu definieren. Weitere Informationen finden Sie unter [https://www.semantic-mediawiki.org/wiki/Help:Template_format Semantic MediaWiki]. (Dies ist ein Beispiel, bei dem sich die Seiten unbedingt im Vorlagen-Namensraum befinden müssen.)
-Wenn Sie das ElasticSearch-Setup auf ein anderes Log-Level geändert oder die Einschränkungen für den ElasticSearch-Zugriff gelockert haben, müssen Sie das Setup überprüfen.
+*Die vollständige Liste aller Seiten des Wikis, die sich in diesem Namensraum befinden, finden Sie auf der Seite <code>Spezial:Vorlagen</code>.
+{{Box_Links | Thema1 = https://meta.wikimedia.org/wiki/Help:Template| Thema2 = https://www.mediawiki.org/wiki/Help:Templates/de| Thema 3= https://www.mediawiki.org/wiki/Help:Extension:ParserFunctions | Thema4 = }}
-===BlueSpice 2===
+[[de: {{FULLPAGENAME}}]]
+[[en: Manual:Templates]]
-*Solr benutzt log4j => '''<span class="col-red ve-pasteProtect">verwundbar</span>''' <br /><br />Informationen zur Schadensabwendung finden Sie hier: <br /> https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228
+[[Category:Inhalt]]
+[[Category:Organisation]]
-===Geprüfte Komponenten im Docker-Image===
-Die Liste der im Docker-File aktivierten Packages wurde geprüft. => <span class="col-turquoise ve-pasteProtect">'''nicht anfällig'''</span><br />
-*https://security-tracker.debian.org/tracker/CVE-2021-44228
-===BlueSpice Cloud===
-*Swarmpit => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-*Drone => <span class="col-turquoise ve-pasteProtect">'''nicht betroffen'''</span>
-==Weiterführende Links==
-* https://www.elastic.co/guide/en/elasticsearch/reference/current/deb.html
-* https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
-* https://www.suse.com/c/suse-statement-on-log4j-log4shell-cve-2021-44228-vulnerability/
-[[en:Announcement/Log4Shell]]
-[[de:{{FULLPAGENAME}}]]