Geeklog 1.4.0sr3 und 1.3.11sr6

Das Security Science Researchers Institute Of Iran (KAPDA.ir) hat folgende Sicherheitsprobleme in Geeklog entdeckt und gemeldet:

1. Eine mögliche SQL-Injection in auth.inc.php, die auch zum Umgehen der Zugangskontrolle ausgenutzt werden kann.
2. Eine mögliche Cross-Site-Scripting (XSS) Attacke via getimage.php
3. Path disclosures in getimage.php und der functions.php-Datei der meisten Themes (inkl. des Professional-Themes)

Darüber hinaus haben wir bei unseren Code Reviews auch noch eine mögliche SQL-Injection beim Einreichen von Artikeln gefunden.

Wir stellen daher ab sofort Geeklog 1.4.0sr3 (Komplettarchiv, Update) und Geeklog 1.3.11sr6 (Update, Combo-Update) bereit und raten dazu, diese Updates möglichst schnell einzuspielen.

Noch ein paar ergänzende Hinweise:

• Die Datei getimage.php kann auch einfach gelöscht werden, solange man das images-Verzeichnis von Geeklog nicht verschoben hat. Die Datei wird nur benötigt, um Bilder (für Artikel oder Userfotos) von außerhalb des Webroots anzuzeigen.
• Bitte alle installierten Themes überprüfen, ob die Datei functions.php dort PHP-Code enthält. Wenn ja, sollte am Anfang der Datei folgendes eingefügt werden:
  if (strpos ($_SERVER['PHP_SELF'], 'functions.php') !== false) { die ('This file can not be used on its own!'); }
• Versionen älter als 1.3.11 werden nicht mehr unterstützt. Die auth.inc.php für Geeklog 1.3.11 sollte aber auch mit 1.3.9 und 1.3.10 funktionieren (keine Garantie für noch ältere Versionen). Wir empfehlen trotzdem eher ein Upgrade auf 1.4.0sr3.

Wir arbeiten derzeit weiter an Geeklog 1.4.1, das Bugfixes und weitere Verbesserungen bei der Sicherheit bringen wird. Dass das Problem mit auth.inc.php bereits einige Tage vor dem Eintreffen des Berichts von KAPDA entdeckt und behoben worden war zeigt, dass wir offenbar auf dem richtigen Weg sind. Als Termin für einen ersten Release Candidate für Geeklog 1.4.1 peilen wir derzeit Ende Juni an.