Geeklog 1.3.8-1sr1 und 1.3.7sr3 Security Updates

Wie der eine oder andere vielleicht mitbekommen hat, gab es in den letzten zwei Wochen eine Reihe von Berichten über Sicherheitsprobleme in Geeklog. Einiges davon stellte sich als wahr heraus, einiges nicht und im Großen und Ganzen sind die berichteten Probleme nicht so dramatisch wie es sich zuerst anhörte - was natürlich nicht heißen soll, dass man sie nicht beheben sollte.

Zu eben diesem Zweck veröffentlichen wir nun Updates auf Geeklog 1.3.8-1sr1 bzw. 1.3.7sr3 sowie eine 1.3.8-1sr1 Komplettversion für Neuinstallationen.

Diese Versionen enthalten einen neuen Filter (kses von Ulf Harhammar) um evtl. Javascript-Injections und CSS-Defacements zu verhindern. Ferner ist ein Update der Datenbank-Klasse enthalten, das bei SQL-Fehlern nun keine Details mehr im Browser anzeigt (die Fehlermeldung wird nur noch in der error.log protokolliert). Dies ist als temporäre Maßnahme zu verstehen, bis wir (voraussichtlich mit Geeklog 1.3.9) Versuche von SQL-Injections sauber abfangen können. Derzeit sind aber ohnehin keine erfolgreichen SQL-Injections für Geeklog selbst bekannt.

Ferner müssen wir im Moment vom Einsatz von Geeklog mit MySQL 4.1 abraten. Da sich diese Version aber ohnehin noch im Alpha-Stadium befindet und selbst der Hersteller vom "produktiven" Einsatz abrät, sollte dies in der Praxis kein Problem darstellen.

Hinweise zum Upgrade: Das 1.3.8-1sr1 Upgrade ist zum Update von Geeklog 1.3.8-1 gedacht. Wer noch 1.3.8 einsetzt, muss zunächst auf 1.3.8-1 aktualisieren.

Das 1.3.7sr3 Upgrade ist als Update für Geeklog 1.3.7sr2 gedacht. Alternativ kann man mit dem 1.3.8-1sr1 Komplettarchiv auch gleich auf die neueste Version aktualisieren.

Ältere Versionen als 1.3.7sr2 sollte ohnehin niemand mehr einsetzen (wegen früherer Sicherheitsprobleme). Und falls doch, wäre nun ein guter Zeitpunkt - schon im eigenen Interesse! - endlich ein Update durchzuführen ...

bye, Dirk