Geeklog 1.3.9sr2 und 1.3.8-1sr6
Geeklog 1.3.9sr2 und 1.3.8-1sr6 beheben zwei Sicherheitsprobleme:
- Durch die Verwendung einer ungefilterten Variablen in den Sprachdateien war eine Cross Site Scripting-Attacke möglich.
Von dem Problem nicht betroffen sind german.php und german_utf-8.php, wohl aber german_formal.php sowie alle anderen Sprachen. - Es war möglich, Kommentare zu Artikeln und Umfragen zu posten, auch wenn Kommentare dort eigentlich deaktiviert waren. Die Kommentare wurden allerdings nie angezeigt.
Geeklog 1.3.9sr2 enthält zusätzlich noch eine korrigierte lib-plugins.php, die Probleme unter PHP 5 behebt (nicht sicherheitsrelevant). Das Geeklog 1.3.9sr2 Komplettarchiv enthält ferner auch aktualisiert PEAR-Pakete, die einige der gemeldeten E-Mail-Probleme beheben sollten.
Wer Änderungen in den Sprachdateien vorgenommen hat, kann zumindest das XSS-Problem auch selbst korrigieren, indem im Textstring Nr. 3 in $LANG05 die Variable gegen %s ersetzt wird.