Geeklog 1.5.2sr2

Bookoo von der Nine Situations Group hat einen Exploit für eine SQL-Injection in glFusion veröffentlicht, der auch für Geeklog funktioniert. Damit war es möglich, den Passwort-Hash eines beliebigen Users auszulesen. Dieses Problem besteht in allen bisher veröffentlichten Geeklog-Versionen und wird mit Geeklog 1.5.2sr2 nun behoben.

Es stehen ein Update-Archiv sowie ein neues Komplettarchiv für Geeklog 1.5.2sr2 zum Download bereit. Das Update-Archiv enthält nur eine neue lib-sessions.php, die auch zum Update von Geeklog 1.4.1, 1.5.0 und 1.5.1 benutzt werden kann.

Als vorübergehende Maßnahme sowie zur Sicherung von älteren, nicht mehr unterstützten Geeklog-Versionen, kann auch die folgende Änderung an der Konfiguration vorgenommen werden:

In Geeklog 1.5.x, unter Konfiguration > Geeklog > Vermischtes > Cookies die Einstellung "Cookies embed IP?" auf "Ja" ändern. In älteren Geeklog-Versionen entspricht dies dem Eintrag $_CONF['cookie_ip'] in der config.php, der dort auf = 1; (statt = 0) geändert werden muss. Nachteil dieser Änderung ist, dass User, deren IP-Adresse sich öfters ändert, sich ggfs. öfters neu einloggen müssen.