Geeklog 1.3.8-1sr3 und 1.3.7sr4

Die Updates auf Geeklog 1.3.8-1sr3 und 1.3.7sr4 beheben einige kleinere Sicherheitsprobleme:

1. Ein gewisser "dr.wh0" wies darauf hin, dass das Feld "Kategorie" bei eingereichten Links nicht gefiltert wird. Mit den dort zur Verfügung stehenden 32 Zeichen kann man zwar wahrscheinlich keinen großen Schaden anrichten, trotzdem sollten solche Felder immer gefiltert werden.
2. Vincent Furia bemerkte, dass man die Einschränkungen, ob und wer E-Mails an registrierte User schicken darf, umgehen kann. Damit wäre es u.U. auch möglich, User "zuzuspammen".
   In Geeklog 1.3.8-1sr3 wurde hier auch noch ein "Speed Limit" für E-Mails an User eingeführt.
3. Es war möglich, anonym Kommentare zu schreiben, auch wenn anonymen Usern das Kommentieren eigentlich nicht erlaubt war.
4. Es war sogar möglich, Kommentare unter dem Usernamen eines anderen Users abzusetzen.

Wie üblich gibt es für Geeklog 1.3.8-1sr3 ein Update-Archiv und einen kompletten Tarball. Für Geeklog 1.3.7sr4 gibt es nur ein Update-Archiv.

bye, Dirk

Nachtrag: Durch das Update konnte man jetzt überhaupt keine Kommentare mehr schreiben. Der Fehler wurde korrigiert und die Archive ausgetauscht. Wer eine fehlerhafte Version hat, sollte sich das Update-Archiv herunterladen und comment.php gegen die neue Version ersetzt. Sorry :-(