Letzte Woche wurde ein Exploit veröffentlicht, der das direkte Hochladen von Dateien durch den in FCKeditor integrierten Connector ermöglicht. Da diese Dateien immer noch durch den Filter von FCKeditor gehen müssen, ist es so aber nicht möglich, Skripte oder ähnliches hochzuladen und daher schien es zunächst kein direktes Problem für die Sicherheit einer Geeklog-Site darzustellen. Was wir leider übersehen haben: Unter den erlaubten Dateitypen sind auch Archivdateien (ZIP-Archive, usw.). Und diese Möglichkeit wurde offenbar dazu benutzt, Malware (Viren, Trojaner) auf einigen Geeklog-Sites abzulegen.

Geeklog 1.6.0sr2 schließt diese Lücke nun (auch als Update von 1.6.0sr1 verfügbar).

Benutzern älterer Geeklog-Versionen sei dringend angeraten, den FCKeditor entweder ganz zu entfernen (wenn er nicht verwendet wird) oder gegen eine aktualisierte Version zu ersetzen.

Am 22. und 23. August findet wieder die FrOSCon in Sankt Augustin bei Bonn statt und Geeklog wird dort wieder mit einem Stand vertreten sein.

Die FrOSCon ist eine Veranstaltung rund um das Thema Open Source. Es gibt Vorträge, Workshops und viele bekannte und weniger bekannte Open Source-Projekte sind mit Ständen vertreten.

Auf dem Geeklog-Stand werden wir natürlich die aktuelle Geeklog-Version zeigen, aber auch erste Einblicke in kommende Features, z.B. erste Resultate des diesjährigen Google Summer of Code. Und natürlich sind wir interessiert an Feedback, Fragen, Diskussionen oder einfach nur, mal in persönlichen Kontakt mit unseren Usern zu kommen.

Man sieht sich in Sankt Augustin!

Geeklog 1.6.0sr1 und 1.5.2sr5 beheben die folgenden Sicherheitsprobleme:

1. Gerendi Sandor Attila hat Angriffspunkte für XSS in den Formularen zum Senden von E-Mails an andere User und zum Verschicken von Artikeln per E-Mail gefunden.
2. Die Funktion zum Verschicken von Artikeln per E-Mail hat darüber hinaus die Artikel-Rechte nicht beachtet, so dass man u.U. Artikel verschicken konnte, auch wenn man nicht die Berechtigung hatte, den Artikel auf der Website einzusehen.

Darüber hinaus haben wir noch zwei Bugs in Geeklog 1.6.0 behoben: Wenn man die Moderation für Artikel-Einreichungen abschaltete, gab es einen SQL-Fehler. Zudem wurde an einigen Stellen eine nicht-vorhandene Funktion aufgerufen.

Es stehen folgende Dateien zum Download bereit:

• ein Komplett-Archiv von Geeklog 1.6.0sr1
• ein Update-Archiv von Geeklog 1.6.0
• ein Update-Archiv von Geeklog 1.5.2sr4
• ein Combo-Update zum Update einer beliebigen 1.52er-Version auf 1.5.2sr5

Die Entwicklung von Geeklog 1.6.0 ist nun abgeschlossen und die neue Version steht zum Download bereit.

Enthalten in dieser Version sind u.a. die Ergebnisse vom Google Summer of Code 2008: Das Installations-Skript hilft jetzt beim Umziehen einer Geeklog-Site auf einen anderen Webserver ("Migration"), Plugins können einfach durch Hochladen der .zip- bzw. .tar.gz.-Datei installiert werden, die Suche präsentiert sich eher wie von Suchmaschinen gewohnt, Kommentare können moderiert und editiert werden, ein neues Plugin generiert sitemap.xml-Dateien, FCKeditor 2.6.4.1 wird mitgeliefert und noch einiges mehr.

Details zu den neuen Funktionen können auf geeklog.net nachgelesen werden.