Zuverlässigkeit eingebaut

Geeklog-Links

Download
Dokumentation
FAQ
Hilfe!
Fehler melden
Source Code
Jetzt ausprobieren

Kategorien

Anmelden





Noch nicht registriert? Melde Dich jetzt als neuer User an
Passwort vergessen?

Was ist neu?

ARTIKEL

Keine neuen Artikel

KOMMENTARE letzte 2 Tage

Keine neuen Kommentare

TRACKBACKS letzte 2 Tage

Keine neuen Trackback-Kommentare

LINKS letzte 2 Wochen

Es gibt keine Links anzuzeigen.

DOWNLOADS letzte 14 Tage

Keine neuen Dateien

Termine

Es stehen keine Termine an

Willkommen bei Geeklog
Freitag, 10. Februar 2012, 12:55 Uhr

Geeklog 1.3.8-1sr4 und 1.3.7sr5

Montag, 26. Januar 2004, 21:25 Uhr

Beitrag von: Dirk

SicherheitDie Updates auf Geeklog 1.3.8-1sr4 bzw. 1.3.7sr5 beheben folgende Sicherheitsprobleme:
  1. Mitgliedern der Group Admin- und User Admin-Gruppen war es möglich, Root-Rechte zu bekommen (gefunden von Samuel M. Stone, Bug #135).
  2. Ein Admin für einen bestimmten Bereich (z.B. Artikel) konnte alle Objekte (z.B. Artikel) in diesem Bereich löschen, vorausgesetzt, er kannte deren ID.
  3. Es war möglich, die persönlichen Termine anderer User zu löschen, vorausgesetzt, man kannte deren ID.
  4. Man konnte die Kommentare zu einem Artikel einsehen, auch wenn man für den Artikel selbst nicht die nötigen Rechte hatte (gefunden von Peter Roozemaal).
  5. Es war möglich, die Account-Daten (inkl. des Passworts) eines Users zu ändern, wenn man ihn dazu brachte, auf einen eigens dafür fabrizierten Link zu klicken (gefunden von Jelmer, Fix vorgeschlagen von Vincent Furia).
  6. In der Kommentar-Anzeige bestand die Möglichkeit einer SQL-Injection (gefunden von Jelmer).
  7. Es war möglich, Javascript-Code in den Kalender zu "injizieren" (gefunden von Jelmer).
  8. In der Kommentar-Vorschau konnte man Javascript-Code ausführen (aber nicht speichern) lassen (gefunden von Jelmer).

Wie üblich gibt es ein Update-Archiv sowie ein Komplett-Archiv auf Geeklog 1.3.8-1sr4 sowie ein Update-Archiv für 1.3.7sr5.

Bitte nicht von der letzten Ziffer verwirren lassen - die Versionen sind 1.3.8-1sr4, aber 1.3.7sr5. Das Installieren des 1.3.7er-Updates über eine 1.3.8er-Version (oder umgekehrt) wird mit Sicherheit zu einer nicht funktionierenden Website führen ...

Weiterführende Links

Optionen

Geeklog 1.3.8-1sr4 und 1.3.7sr5 | 3 Kommentar(e) | Neuen Account anlegen
Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.
Geeklog 1.3.8-1sr4 und 1.3.7sr5
Autor: Gast am Sonntag, 08. Februar 2004, 03:23 Uhr

Was bedeutet "root"-Rechte unter Punkt 1 genau? System root-Rechte des Betriebssystems?

Geeklog 1.3.8-1sr4 und 1.3.7sr5
Autor: Dirk am Sonntag, 08. Februar 2004, 20:46 Uhr

Gemeint sind natürlich "nur" Root-Rechte innerhalb von Geeklog (was schlimm genug ist).

bye, Dirk

Geeklog 1.3.8-1sr4 und 1.3.7sr5
Autor: Gast am Sonntag, 08. Februar 2004, 23:23 Uhr

Hast Du eine URL, die den Exploit beschreibt? Wonach muß ich suchen, wenn ich den Verdacht habe, daß schon etwas vorgefallen ist?
Copyright © 2012 Geeklog
Impressum 		Powered by Geeklog 
Seite erzeugt in 0,20 Sekunden