Geeklog 1.4.0sr2, 1.3.11sr5, 1.3.9sr5

Leider gibt es ein weiteres schweres Sicherheitsproblem zu vermelden: Konstantin Dyakoff hat einen alten Fehler im Session-Handling entdeckt, der es ermöglicht, sich als beliebigen User einzuloggen. Dieser Bug existiert in allen seit 2002 veröffentlichten Geeklog-Versionen.

Abhilfe schaffen die folgenden Updates, deren Installation wir aus offensichtlichen Gründen dringend empfehlen:

• Geeklog 1.4.0sr2 (Komplettarchiv und Update von 1.4.0sr2)
• Geeklog 1.3.11sr5 (Update von 1.3.11sr4 und Combo-Update von beliebigen 1.3.11er-Versionen)
• Geeklog 1.3.9sr5 (Update von 1.3.9sr4)

In 1.4.0sr2 werden zusätzlich noch HTML-Tags aus dem Feld "Wohnort" im Userprofil entfernt (dieser Fehler existiert nur in 1.4.0). Das Update auf 1.3.9sr5 enthält zusätzlich noch die Korrekturen für die letzten Sicherheitsprobleme. Geeklog 1.3.9 wird aber offiziell nicht mehr unterstützt und wir empfehlen wirklich, bei nächster Gelegenheit auf 1.4.0 zu wechseln.

Tja, soviel dann wohl zu unserem (bisherigen) Ruf als relativ sichere Webapplikation. Aber nach zwei ernsten Problemen innerhalb von zwei Wochen kann man das wohl nicht mehr mit ruhigem Gewissen behaupten. Ein dickes Sorry für evtl. entstandene Unanehmlichkeiten.

Wir werden uns für Geeklog 1.4.1 jetzt erst einmal auf Code-Reviews und Bugfixes statt neuer Features konzentrieren. Nur wenn wir jetzt unsere Hausaufgaben machen, schaffen wir es vielleicht, das Vertrauen in Geeklog wieder herzustellen.