Zuverlässigkeit eingebaut

Willkommen bei Geeklog
Donnerstag, 23. März 2017, 07:12 Uhr

Druckfähige Version anzeigen

Geeklog 1.6.0sr2

Sicherheit

Letzte Woche wurde ein Exploit veröffentlicht, der das direkte Hochladen von Dateien durch den in FCKeditor integrierten Connector ermöglicht. Da diese Dateien immer noch durch den Filter von FCKeditor gehen müssen, ist es so aber nicht möglich, Skripte oder ähnliches hochzuladen und daher schien es zunächst kein direktes Problem für die Sicherheit einer Geeklog-Site darzustellen. Was wir leider übersehen haben: Unter den erlaubten Dateitypen sind auch Archivdateien (ZIP-Archive, usw.). Und diese Möglichkeit wurde offenbar dazu benutzt, Malware (Viren, Trojaner) auf einigen Geeklog-Sites abzulegen.

Geeklog 1.6.0sr2 schließt diese Lücke nun (auch als Update von 1.6.0sr1 verfügbar).

Benutzern älterer Geeklog-Versionen sei dringend angeraten, den FCKeditor entweder ganz zu entfernen (wenn er nicht verwendet wird) oder gegen eine aktualisierte Version zu ersetzen.

Druckfähige Version anzeigen

Geeklog auf der FrOSCon 2009

Am 22. und 23. August findet wieder die FrOSCon in Sankt Augustin bei Bonn statt und Geeklog wird dort wieder mit einem Stand vertreten sein.

Die FrOSCon ist eine Veranstaltung rund um das Thema Open Source. Es gibt Vorträge, Workshops und viele bekannte und weniger bekannte Open Source-Projekte sind mit Ständen vertreten.

Auf dem Geeklog-Stand werden wir natürlich die aktuelle Geeklog-Version zeigen, aber auch erste Einblicke in kommende Features, z.B. erste Resultate des diesjährigen Google Summer of Code. Und natürlich sind wir interessiert an Feedback, Fragen, Diskussionen oder einfach nur, mal in persönlichen Kontakt mit unseren Usern zu kommen.

Man sieht sich in Sankt Augustin!

Druckfähige Version anzeigen

Geeklog 1.6.0sr1 und 1.5.2sr5

Sicherheit

Geeklog 1.6.0sr1 und 1.5.2sr5 beheben die folgenden Sicherheitsprobleme:

  1. Gerendi Sandor Attila hat Angriffspunkte für XSS in den Formularen zum Senden von E-Mails an andere User und zum Verschicken von Artikeln per E-Mail gefunden.
  2. Die Funktion zum Verschicken von Artikeln per E-Mail hat darüber hinaus die Artikel-Rechte nicht beachtet, so dass man u.U. Artikel verschicken konnte, auch wenn man nicht die Berechtigung hatte, den Artikel auf der Website einzusehen.

Darüber hinaus haben wir noch zwei Bugs in Geeklog 1.6.0 behoben: Wenn man die Moderation für Artikel-Einreichungen abschaltete, gab es einen SQL-Fehler. Zudem wurde an einigen Stellen eine nicht-vorhandene Funktion aufgerufen.

Es stehen folgende Dateien zum Download bereit:

Druckfähige Version anzeigen

Geeklog 1.6.0

Ankündigungen

Die Entwicklung von Geeklog 1.6.0 ist nun abgeschlossen und die neue Version steht zum Download bereit.

Enthalten in dieser Version sind u.a. die Ergebnisse vom Google Summer of Code 2008: Das Installations-Skript hilft jetzt beim Umziehen einer Geeklog-Site auf einen anderen Webserver ("Migration"), Plugins können einfach durch Hochladen der .zip- bzw. .tar.gz.-Datei installiert werden, die Suche präsentiert sich eher wie von Suchmaschinen gewohnt, Kommentare können moderiert und editiert werden, ein neues Plugin generiert sitemap.xml-Dateien, FCKeditor 2.6.4.1 wird mitgeliefert und noch einiges mehr.

Details zu den neuen Funktionen können auf geeklog.net nachgelesen werden.

Druckfähige Version anzeigen

Geeklog 1.5.2sr4

Sicherheit

Leider kommen die Sicherheits-Updates zur Zeit in einem Tempo, dass ich kaum dazu komme, geeklog.info mit zu aktualisieren. Geeklog 1.5.2sr3 (und ein Problem mit den Webservices) können wir daher gleich überspringen und kommen nun zu Geeklog 1.5.2sr4. Dieses Update behebt eine SQL-Injection in usersettings.php und steht nun zum Download bereit, wahlweise als

  • "Combo"-Update, d.h. mit allen bisherigen 1.5.2er-Updates in einem Archiv, oder als
  • Komplett-Archiv für Neuinstallationen und zum Update von früheren Versionen