Geeklog 1.4.0sr4

Es wurden zwei Exploits veröffentlicht, die unsichere Geeklog-Installationen sowie einen Fehler im "mcpuk" File-Manager (den wir als Teil von FCKeditor mitliefern) ausnutzen.

Der erste Exploit gefährdet alle Geeklog-Installationen, bei denen die Dateien außerhalb von public_html über eine URL erreichbar sind (wovon wir in der Installationsanleitung ohnehin dringend abraten). Bei solchen Installationen kann beliebiger Code auf den Webserver hochgeladen und ausgeführt werden. Weitere Informationen und wie man sich dagegen schützt: So-called Geeklog "exploit" posted.

Der zweite Exploit betrifft den File-Manager "mcpuk" als Teil von FCKeditor. Auch durch diesen lässt sich u.U. beliebiger Code hochladen und ausführen. Das gilt auch, wenn FCKeditor nicht aktiviert ist! Es genügt, wenn sich die Dateien auf dem Server befinden. Weitere Informationen und wie man sich dagegen schützt: Exploit for FCKeditor's mcpuk file manager.

Es macht wenig Sinn, für diese beiden Probleme Updates zu veröffentlichen, da im ersteren Fall ohnehin nur fehlerhafte Installationen betroffen sind und man im letzeren Fall Dateien entfernen muss (siehe verlinkten Artikel). Für Neuinstallationen sollte dann aber die neue Version Geeklog 1.4.0sr4 verwendet werden, die den File-Manager nicht mehr enthält und einige zusätzliche Schutzmaßnahmen im Falle einer unsicheren Installation enthält.