Zuverlässigkeit eingebaut

Geeklog-Links

Download
Dokumentation
FAQ
Hilfe!
Fehler melden
Source Code
Jetzt ausprobieren

Kategorien

Anmelden





Noch nicht registriert? Melde Dich jetzt als neuer User an
Passwort vergessen?

Was ist neu?

ARTIKEL

Keine neuen Artikel

KOMMENTARE letzte 2 Tage

Keine neuen Kommentare

TRACKBACKS letzte 2 Tage

Keine neuen Trackback-Kommentare

LINKS letzte 2 Wochen

Es gibt keine Links anzuzeigen.

DOWNLOADS letzte 14 Tage

Keine neuen Dateien

Termine

Es stehen keine Termine an

Willkommen bei Geeklog
Mittwoch, 08. Februar 2012, 22:07 Uhr

Sicherheitsprobleme in Geeklog 1.3.5sr1

Dienstag, 09. Juli 2002, 22:06 Uhr

Beitrag von: Dirk

Sicherheit

Für eine Software, die großen Wert auf Sicherheit legt, ist es natürlich immer ärgerlich, wenn Sicherheitslücken entdeckt werden. Umso mehr sind wir aber auch bemüht, sie zu stopfen.

Geeklog 1.3.5sr2 behebt einige kürzlich gemeldete Sicherheitsprobleme in Geeklog 1.3.5sr1 (und früheren Versionen). Wer bereits 1.3.5sr1 installiert hat, kann auch mit diesem Update-Archiv nur die betroffenen Dateien austauschen. Wer immer noch eine ältere Version einsetzt, sollte nun wirklich dringend updaten.

Hinweis zum Update-Archiv: Vor dem Hochladen nicht vergessen, den Pfad in der lib-common.php anzupassen, sonst wird die Site nicht mehr funktionieren ...

Ein paar Details zu den Problemen:

  • Es war möglich, Javascript-Code in HTML-Postings (Artikel und Kommentare) einzuschleusen und damit z.B. so genannte Cross Site Scripting Attacks durchzuführen.
  • Die E-Mail-Adresse von registrierten Usern soll in Geeklog ja eigentlich nirgendwo sichtbar sein. Jedoch war es möglich, das "E-Mail an User"-Formular so zu manipulieren, dass man zusätzliche E-Mail-Header einschleusen und so eine Kopie an sich selbst senden konnte, wodurch dann die Adresse des Empfängers offenbart wurde.
  • Durch Einschleusen von Javascript-Code in Suchanfragen waren ebenfalls Cross Site Scripting Attacks möglich.

Neben diesen Korrekturen gibt es auch ein paar kleine Bugfixes und insbesondere eine neue Installationsanleitung (in Englisch), die hoffentlich die Installation besser erklärt als die alte ...

bye, Dirk

Weiterführende Links

Optionen

Sicherheitsprobleme in Geeklog 1.3.5sr1 | 0 Kommentar(e) | Neuen Account anlegen
Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.

Copyright © 2012 Geeklog
Impressum 		Powered by Geeklog 
Seite erzeugt in 0,18 Sekunden