Zuverlässigkeit eingebaut

Geeklog-Links

Download
Dokumentation
FAQ
Hilfe!
Fehler melden
Source Code
Jetzt ausprobieren

Kategorien

Anmelden





Noch nicht registriert? Melde Dich jetzt als neuer User an
Passwort vergessen?

Was ist neu?

ARTIKEL

Keine neuen Artikel

KOMMENTARE letzte 2 Tage

Keine neuen Kommentare

TRACKBACKS letzte 2 Tage

Keine neuen Trackback-Kommentare

LINKS letzte 2 Wochen

Es gibt keine Links anzuzeigen.

DOWNLOADS letzte 14 Tage

Keine neuen Dateien

Termine

Es stehen keine Termine an

Willkommen bei Geeklog
Mittwoch, 08. Februar 2012, 22:23 Uhr

Geeklog 1.3.7sr1 Security-Update

Montag, 13. Januar 2003, 17:35 Uhr

Beitrag von: Dirk

Sicherheit

Es wurden mehrere Sicherheitsprobleme in Geeklog 1.3.7 gefunden (auch ältere Versionen dürften betroffen sein). Diese werden mit Geeklog 1.3.7sr1 behoben. Wer bereits 1.3.7 installiert hat, kann alternativ zu diesem Upgrade-Archiv greifen, das nur die korrigierten Dateien enthält. Jedoch enthält das Komplett-Archiv weitere Korrekturen, die von dem Upgrade-Archiv nicht abgedeckt werden.

Die Sicherheitsprobleme im Einzelnen:

  1. Es war möglich, Javascript-Code in den Homepage-Link im Userprofil einzubauen (gefunden von Jin Yean Tan).
  2. Es war möglich, Javascript-Code in bestimmte URLs einzuschleusen und diese dann für eine Cross-Site Scripting Attack zu verwenden (gefunden von Jin Yean Tan).
  3. Auch Benutzer ohne Admin-Rechte konnten Kommentare löschen.
  4. Ein Admin konnte sich über einschränkende Rechte in seinem Adminbereich hinwegsetzen. So konnte z.B. ein StoryAdmin auch dann alle Artikel bearbeiten, wenn dies aufgrund der gesetzten Rechte eigentlich nicht möglich gewesen sein sollte. Analog verhielt es sich mit Admins für die Bereiche Links, Termine, Umfragen, Kategorien und Blöcke (gefunden von Kobaz).

bye, Dirk

Weiterführende Links

Optionen

Geeklog 1.3.7sr1 Security-Update | 4 Kommentar(e) | Neuen Account anlegen
Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.
Geeklog 1.3.7sr1 Security-Update
Autor: Dirk am Montag, 13. Januar 2003, 20:31 Uhr

Irgend etwas geht doch immer schief ...

Beide Archive enthielten versehentlich eine alte Version der Datei comment.php. Die Archive wurden mittlerweile ausgetauscht. Ich möchte diejenigen bitten, die sich die Archive vor ca. 20:15 Uhr heruntergeladen haben (tom, papman und einige nicht eingeloggte Besucher), sich das jeweilige Archiv noch einmal herunterzuladen.

Die richtige Version der comment.php weist in Zeile 34 diesen Id-String auf: 

// $Id: comment.php,v 1.38 2003/01/13 18:54:45 dhaun Exp $

Sorry :-(

bye, Dirk

Geeklog 1.3.7sr1 Security-Update
Autor: Drake am Montag, 13. Januar 2003, 21:56 Uhr

Vielleicht bin ja zu blöd aber wenn ich das Upgrade runterlade und es auspacke ist da nur eine Datei \"geeklog-1.3.7-upgrade\" am ende ohne Endung und nur den Namen als Inhalt.
???

---
"Es kommt die Zeit und es gibt einen Ort, an dem wir die Waffen kreuzen müssen."—Miyamoto Musashi, Das Buch der fünf Ringe, Buch der Erde

Geeklog 1.3.7sr1 Security-Update
Autor: Drake am Montag, 13. Januar 2003, 23:15 Uhr

Habs, irgendwie ist das .gz verloren gegangen. Habs umbenannt dann ging es.

---
"Es kommt die Zeit und es gibt einen Ort, an dem wir die Waffen kreuzen müssen."—Miyamoto Musashi, Das Buch der fünf Ringe, Buch der Erde

Geeklog 1.3.7sr1 Security-Update
Autor: papman am Montag, 20. Januar 2003, 17:55 Uhr

Wichtige Updates also nie an einem 13ten!

Ist bei Murphy irgendwo unter Regel 256 niedergelegt worden!
Copyright © 2012 Geeklog
Impressum 		Powered by Geeklog 
Seite erzeugt in 0,18 Sekunden