Geeklog 1.6.0sr2
Letzte Woche wurde ein Exploit veröffentlicht, der das direkte Hochladen von Dateien durch den in FCKeditor integrierten Connector ermöglicht. Da diese Dateien immer noch durch den Filter von FCKeditor gehen müssen, ist es so aber nicht möglich, Skripte oder ähnliches hochzuladen und daher schien es zunächst kein direktes Problem für die Sicherheit einer Geeklog-Site darzustellen. Was wir leider übersehen haben: Unter den erlaubten Dateitypen sind auch Archivdateien (ZIP-Archive, usw.). Und diese Möglichkeit wurde offenbar dazu benutzt, Malware (Viren, Trojaner) auf einigen Geeklog-Sites abzulegen.
Geeklog 1.6.0sr2 schließt diese Lücke nun (auch als Update von 1.6.0sr1 verfügbar).
Benutzern älterer Geeklog-Versionen sei dringend angeraten, den FCKeditor entweder ganz zu entfernen (wenn er nicht verwendet wird) oder gegen eine aktualisierte Version zu ersetzen.
Montag, 31. August 2009, 23:36 Uhr