Zuverlässigkeit eingebaut

Willkommen bei Geeklog
Samstag, 04. Februar 2012, 18:38 Uhr

Geeklog 1.5.2sr2

Sicherheit

Bookoo von der Nine Situations Group hat einen Exploit für eine SQL-Injection in glFusion veröffentlicht, der auch für Geeklog funktioniert. Damit war es möglich, den Passwort-Hash eines beliebigen Users auszulesen. Dieses Problem besteht in allen bisher veröffentlichten Geeklog-Versionen und wird mit Geeklog 1.5.2sr2 nun behoben.

Es stehen ein Update-Archiv sowie ein neues Komplettarchiv für Geeklog 1.5.2sr2 zum Download bereit. Das Update-Archiv enthält nur eine neue lib-sessions.php, die auch zum Update von Geeklog 1.4.1, 1.5.0 und 1.5.1 benutzt werden kann.

Als vorübergehende Maßnahme sowie zur Sicherung von älteren, nicht mehr unterstützten Geeklog-Versionen, kann auch die folgende Änderung an der Konfiguration vorgenommen werden:

In Geeklog 1.5.x, unter Konfiguration > Geeklog > Vermischtes > Cookies die Einstellung "Cookies embed IP?" auf "Ja" ändern. In älteren Geeklog-Versionen entspricht dies dem Eintrag $_CONF['cookie_ip'] in der config.php, der dort auf = 1; (statt = 0) geändert werden muss. Nachteil dieser Änderung ist, dass User, deren IP-Adresse sich öfters ändert, sich ggfs. öfters neu einloggen müssen.

Trackback

Trackback-URL für diesen Eintrag: http://geeklog.info/trackback.php/geeklog-1.5.2sr2

Keine Trackback-Kommentare für diesen Eintrag.
Geeklog 1.5.2sr2 | 2 Kommentar(e) | Neuen Account anlegen
Die folgenden Kommentare geben Meinungen von Lesern wieder und entsprechen nicht notwendigerweise der Meinung der Betreiber dieser Site. Die Betreiber behalten sich die Löschung von Kommentaren vor.
Geeklog 1.5.2sr2
Autor: Markus am Montag, 06. April 2009, 00:23 Uhr

Wie sieht das mit GL 1.4.1 aus, kann man da auch irgendwie patchen?

lib-sessions.php für Geeklog 1.4.1
Autor: Dirk am Montag, 06. April 2009, 21:04 Uhr

Eine korrigierte lib-sessions.php die auch tatsächlich mit Geeklog 1.4.1 funktioniert gibt es jetzt auf geeklog.net.