Geeklog 1.5.2sr2

Samstag, 04. April 2009, 19:45 Uhr

Beitrag von: Dirk

Bookoo von der Nine Situations Group hat einen Exploit für eine SQL-Injection in glFusion veröffentlicht, der auch für Geeklog funktioniert. Damit war es möglich, den Passwort-Hash eines beliebigen Users auszulesen. Dieses Problem besteht in allen bisher veröffentlichten Geeklog-Versionen und wird mit Geeklog 1.5.2sr2 nun behoben.

Es stehen ein Update-Archiv sowie ein neues Komplettarchiv für Geeklog 1.5.2sr2 zum Download bereit. Das Update-Archiv enthält nur eine neue lib-sessions.php, die auch zum Update von Geeklog ~~1.4.1~~, 1.5.0 und 1.5.1 benutzt werden kann.

Als vorübergehende Maßnahme sowie zur Sicherung von älteren, nicht mehr unterstützten Geeklog-Versionen, kann auch die folgende Änderung an der Konfiguration vorgenommen werden:

In Geeklog 1.5.x, unter Konfiguration > Geeklog > Vermischtes > Cookies die Einstellung "Cookies embed IP?" auf "Ja" ändern. In älteren Geeklog-Versionen entspricht dies dem Eintrag $_CONF['cookie_ip'] in der config.php, der dort auf = 1; (statt = 0) geändert werden muss. Nachteil dieser Änderung ist, dass User, deren IP-Adresse sich öfters ändert, sich ggfs. öfters neu einloggen müssen.

Geeklog 1.5.2sr2 | 2 Kommentar(e) | Neuen Account anlegen

Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.

Autor: Markus am Montag, 06. April 2009, 00:23 Uhr

Wie sieht das mit GL 1.4.1 aus, kann man da auch irgendwie patchen?

lib-sessions.php für Geeklog 1.4.1

Autor: Dirk am Montag, 06. April 2009, 21:04 Uhr

Eine korrigierte lib-sessions.php die auch tatsächlich mit Geeklog 1.4.1 funktioniert gibt es jetzt auf geeklog.net.

Geeklog-Links

Kategorien

Anmelden

Was ist neu?

ARTIKEL

KOMMENTARE letzte 2 Tage

TRACKBACKS letzte 2 Tage

LINKS letzte 2 Wochen

DOWNLOADS letzte 14 Tage

Termine

Geeklog 1.5.2sr2

Weiterführende Links

Optionen

Trackback