Geeklog 1.3.11 und 1.3.9sr3
Geeklog 1.3.11 ist ein Sicherheits- und ein Bugfix-Update für Geeklog 1.3.10. Ein Update auf 1.3.11 wird daher allen Usern von Geeklog 1.3.10 dringend angeraten.
Behoben werden folgende Sicherheitsprobleme:
- Es war möglich, auch dann Artikel anonym einzureichen, wenn diese Option in der config.php eigentlich deaktiviert war (gefunden von Barry Wong). Die Artikel landeten allerdings immer noch in der Submission-Queue (mussten also vom Admin erst freigegeben werden), solange man diese nicht auch abgeschaltet hatte ...
- Einige der Parameter in den Formularen zum Einreichen von Links und Terminen wurden nicht gefiltert. Dadurch besteht zumindest theoretisch die Möglichkeit von SQL-Injections.
- Die Links für den Block "Zum Thema" wurden aus dem ungefilterten Artikel-Text entnommen, so dass hier die Möglichkeit von Cross-Site-Scripting-Attacken (XSS) bestand (gefunden von Vincent Furia).
Die ersten beiden Probleme betreffen auch Geeklog 1.3.9, für das wir daher auch ein Update auf Geeklog 1.3.9sr3 bereitstellen. Wer noch eine ältere Geeklog-Version einsetzt, sollte aber stattdessen auf Geeklog 1.3.11 wechseln.
Eine Liste der anderen Bugfixes in 1.3.11 findet sich hier.