Sicherheitsprobleme in Geeklog 1.3.5

Es wurden einige Sicherheitsprobleme in Geeklog 1.3.5 entdeckt. Diese erlauben das Einschleusen von Javascript-Code (was u.a. dazu benutzt werden könnte, den Cookie eines Admins zu übernehmen) sowie das Einschleusen von MySQL-Requests (womit man u.U. Daten auslesen oder gar die Datenbank beschädigen könnte). Details zu den Problemen werden im Laufe des Tages auf der Bugtraq-Liste veröffentlicht werden.

Die neue Geeklog Version 1.3.5sr1 behebt diese Sicherheitsprobleme und steht ab sofort zum Download bereit. Wer eine ältere Geeklog-Version einsetzt, sollte dringend auf diese Version upgraden.

Wer bereits Geeklog 1.3.5 installiert hat, kann sich auch mit diesem Archiv behelfen, das nur die geänderten Dateien enthält. Nach dem Einspielen dieser Dateien ist das Sicherheitsproblem ebenfalls behoben.

Diese Sicherheitsprobleme haben uns an einem etwas unglücklichen Zeitpunkt ereilt, da die nächste Geeklog-Version noch nicht fertig zur Veröffentlichung ist und unser Hauptentwickler (Tony) gerade geschäftlich unterwegs ist. Dieses Release ist also eine gemeinschaftliche Anstrengung der Rest-Crew ...

Geeklog 1.3.5sr1 basiert auf Version 1.3.5 und enthält, ausser den Korrekturen für die Sicherheitsprobleme, nur einige Korrekturen für diverse kleinere Fehler. Details dazu finden sich in der Datei docs/history im Archiv.

Wir möchten uns bei den Mitarbeitern von olympos.org bedanken, die die Sicherheitsprobleme gefunden haben und uns die nötige Zeit gaben, sie zu beheben.

bye, Dirk