Zuverlässigkeit eingebaut

Geeklog-Links

Download
Dokumentation
FAQ
Hilfe!
Fehler melden
Source Code
Jetzt ausprobieren

Kategorien

Anmelden





Noch nicht registriert? Melde Dich jetzt als neuer User an
Passwort vergessen?

Was ist neu?

ARTIKEL

Keine neuen Artikel

KOMMENTARE letzte 2 Tage

Keine neuen Kommentare

TRACKBACKS letzte 2 Tage

Keine neuen Trackback-Kommentare

LINKS letzte 2 Wochen

Es gibt keine Links anzuzeigen.

DOWNLOADS letzte 14 Tage

Keine neuen Dateien

Termine

Es stehen keine Termine an

Willkommen bei Geeklog
Mittwoch, 08. Februar 2012, 22:16 Uhr

Wichtig! Sicherheits-Update für Geeklog

Montag, 26. Mai 2003, 23:00 Uhr

Beitrag von: Dirk

Sicherheit

Es wurden Sicherheitsprobleme in Geeklog 1.3.7sr1 (und älteren Versionen) gefunden. Darunter befindet sich eine wirklich ernste Sicherheitslücke, die es einem Angreifer ermöglichen kann, sich als beliebiger User - und damit auch als Admin - auf einer Geeklog-Site einzuloggen. Es wird daher dringend empfohlen, auf Geeklog 1.3.7sr2 zu aktualisieren!

Zur Verfügung stehen ein Update-Archiv (zum Update von 1.3.7sr1) sowie ein 1.3.7sr2-Komplettarchiv. Es handelt sich hierbei jeweils um die deutschen Versionen - die englischen gibt es auf www.geeklog.net.

Auf das Problem wurden wir vor wenigen Tagen aufmerksam gemacht und bisher sind uns auch keine "gehackten" Geeklog-Sites bekannt (zumal man ein wenig Hintergrundwissen benötigt, um die Lücke auszunutzen). Trotzdem handelt es sich hierbei um das erste wirklich ernste Sicherheitsproblem in Geeklog seit langer Zeit und ich kann nur nochmals betonen, dass man wirklich so schnell als möglich auf 1.3.7sr2 aktualisieren sollte!

Wer noch eine Version älter als 1.3.7sr1 einsetzt und - aus welchen Gründen auch immer - nicht gleich auf 1.3.7sr2 aktualisieren kann, sollte zumindest die folgenden Schritte durchführen:

  1. Stelle sicher, dass in Deiner config.php die folgenden Variablen definiert sind:
    $_CONF['cookie_session']                = 'gl_session';
$_CONF['cookie_name']                   = 'geeklog';
$_CONF['cookie_password']               = 'password';
$_CONF['cookie_theme']                  = 'theme';
$_CONF['cookie_language']               = 'language';
$_CONF['cookie_lastvisit']              = 'LastVisit';
$_CONF['cookie_lastvisittemp']          = 'LastVisitTemp';

$_CONF['cookie_ip']                     = 0;
$_CONF['default_perm_cookie_timeout']   = 604800;
$_CONF['session_cookie_timeout']        = 7200;
$_CONF['cookie_path']                   = '/';
$_CONF['cookiedomain']                  = '';
$_CONF['cookiesecure']                  = 0;
    Die tatsächlichen Werte können ruhig abweichen, wichtig ist nur, dass alle diese Variablen definiert sind.
  2. Erst dann(!) die Datei system/lib-sessions.php mit derjenigen aus dem 1.3.7sr2-Update- oder Komplett-Archiv ersetzen.
  3. Das Hochladen von Bildern deaktivieren. Dazu setzt man in der config.php 
    $_CONF['maximagesperarticle']   = 0;
$_CONF['allow_user_photo']    = 0;

Dies sollte aber wirklich nur eine vorübergehende Maßnahme bis zu einem richtigen Update auf Geeklog 1.3.7sr2 sein, zumal es ja in älteren Geeklog-Versionen auch noch andere Sicherheitslücken gab.

bye, Dirk

Weiterführende Links

Optionen

Wichtig! Sicherheits-Update für Geeklog | 0 Kommentar(e) | Neuen Account anlegen
Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.

Copyright © 2012 Geeklog
Impressum 		Powered by Geeklog 
Seite erzeugt in 0,17 Sekunden