Zuverlässigkeit eingebaut

Willkommen bei Geeklog
Donnerstag, 23. März 2017, 07:09 Uhr

Druckfähige Version anzeigen

Geeklog 1.4.0sr5 und 1.3.11sr7

Sicherheit

Das JPCERT/CC hat uns über die Möglichkeit eines XSS in der Kommentarfunktion von Geeklog informiert. Die folgenden Updates beheben dieses Problem:

Updates beschränken sich auf den Austausch einer Datei (lib-comment.php für Geeklog 1.4.0, comment.php für 1.3.11) und sollten daher einfach durchzuführen sein.

Druckfähige Version anzeigen

Geeklog 1.4.0sr4

Sicherheit

Es wurden zwei Exploits veröffentlicht, die unsichere Geeklog-Installationen sowie einen Fehler im "mcpuk" File-Manager (den wir als Teil von FCKeditor mitliefern) ausnutzen.

Der erste Exploit gefährdet alle Geeklog-Installationen, bei denen die Dateien außerhalb von public_html über eine URL erreichbar sind (wovon wir in der Installationsanleitung ohnehin dringend abraten). Bei solchen Installationen kann beliebiger Code auf den Webserver hochgeladen und ausgeführt werden. Weitere Informationen und wie man sich dagegen schützt: So-called Geeklog "exploit" posted.

Der zweite Exploit betrifft den File-Manager "mcpuk" als Teil von FCKeditor. Auch durch diesen lässt sich u.U. beliebiger Code hochladen und ausführen. Das gilt auch, wenn FCKeditor nicht aktiviert ist! Es genügt, wenn sich die Dateien auf dem Server befinden. Weitere Informationen und wie man sich dagegen schützt: Exploit for FCKeditor's mcpuk file manager.

Es macht wenig Sinn, für diese beiden Probleme Updates zu veröffentlichen, da im ersteren Fall ohnehin nur fehlerhafte Installationen betroffen sind und man im letzeren Fall Dateien entfernen muss (siehe verlinkten Artikel). Für Neuinstallationen sollte dann aber die neue Version Geeklog 1.4.0sr4 verwendet werden, die den File-Manager nicht mehr enthält und einige zusätzliche Schutzmaßnahmen im Falle einer unsicheren Installation enthält.

Druckfähige Version anzeigen

Geeklog-Vortrag auf der FrOSCon [Korrektur]

FrOSCon, die Free and Open Source Software Conference, findet am 24. und 25. Juni 2006 in Bonn statt. Ich werde dort am ersten Tag (Samstag, 24.06.) noch einmal den Vortrag Using Geeklog as a Web Application Framework halten.

Der Vortrag ist Teil eines PHP-Tracks, der derzeit noch nicht auf der Website aufgeführt ist.

Es ist zwar etwas kurzfristig (und ich habe selbst auch erst gestern die Bestätigung bekommen), aber wer es einrichten kann, kann ja mal vorbei kommen und "Hallo!" sagen.

Druckfähige Version anzeigen

Geeklog 1.4.0sr3 und 1.3.11sr6

Sicherheit

Das Security Science Researchers Institute Of Iran (KAPDA.ir) hat folgende Sicherheitsprobleme in Geeklog entdeckt und gemeldet:

  1. Eine mögliche SQL-Injection in auth.inc.php, die auch zum Umgehen der Zugangskontrolle ausgenutzt werden kann.
  2. Eine mögliche Cross-Site-Scripting (XSS) Attacke via getimage.php
  3. Path disclosures in getimage.php und der functions.php-Datei der meisten Themes (inkl. des Professional-Themes)

Darüber hinaus haben wir bei unseren Code Reviews auch noch eine mögliche SQL-Injection beim Einreichen von Artikeln gefunden.

Wir stellen daher ab sofort Geeklog 1.4.0sr3 (Komplettarchiv, Update) und Geeklog 1.3.11sr6 (Update, Combo-Update) bereit und raten dazu, diese Updates möglichst schnell einzuspielen.

Druckfähige Version anzeigen

A Few Steps More ...

Geeklog

Es ist mal wieder soweit: Die nächste Geeklog-Version nähert sich so langsam der Fertigstellung und geeklog.info muss mal wieder zum Testen herhalten.

Geeklog 1.4.1 wird vor allem ein Bugfix-Release sein, daher fällt die Liste der Änderungen eher kurz aus. Der Kalender ist nun ein Plugin, es gibt Mehrsprachen-Support und der Support für MS SQL wird es wohl auch noch in die endgültige Version schaffen.

Ansonsten liegt, wie gesagt, der Schwerpunkt auf Bugfixes und wir sehen uns den Code auch nochmal kritisch in Bezug auf mögliche Sicherheitsprobleme an. Sollte etwas nicht wie erwartet funktionieren, bitte "Bescheid" sagen (in den Kommentaren oder im Forum). Danke!