Zuverlässigkeit eingebaut

Willkommen bei Geeklog
Donnerstag, 23. März 2017, 07:08 Uhr

Druckfähige Version anzeigen

Geeklog 1.8.2sr2

Sicherheit

Uns haben zwei Berichte über XSS-Probleme in Geeklog erreicht. Zur Korrektur dieser Fehler steht ab sofort Geeklog 1.8.2sr1 zum Download bereit (auch als Update-Datei für Geeklog 1.8.2).

Von den Problemen ist auch die noch in der Entwicklung befindliche Version 2.0.0 betroffen, für die wir mit Geeklog 2.0.0rc2 ebenfalls eine korrigierte Version bereitstellen, die darüber hinaus weitere Bugfixes enthält.

Druckfähige Version anzeigen

Geeklog 1.6.0sr2

Sicherheit

Letzte Woche wurde ein Exploit veröffentlicht, der das direkte Hochladen von Dateien durch den in FCKeditor integrierten Connector ermöglicht. Da diese Dateien immer noch durch den Filter von FCKeditor gehen müssen, ist es so aber nicht möglich, Skripte oder ähnliches hochzuladen und daher schien es zunächst kein direktes Problem für die Sicherheit einer Geeklog-Site darzustellen. Was wir leider übersehen haben: Unter den erlaubten Dateitypen sind auch Archivdateien (ZIP-Archive, usw.). Und diese Möglichkeit wurde offenbar dazu benutzt, Malware (Viren, Trojaner) auf einigen Geeklog-Sites abzulegen.

Geeklog 1.6.0sr2 schließt diese Lücke nun (auch als Update von 1.6.0sr1 verfügbar).

Benutzern älterer Geeklog-Versionen sei dringend angeraten, den FCKeditor entweder ganz zu entfernen (wenn er nicht verwendet wird) oder gegen eine aktualisierte Version zu ersetzen.

Druckfähige Version anzeigen

Geeklog 1.6.0sr1 und 1.5.2sr5

Sicherheit

Geeklog 1.6.0sr1 und 1.5.2sr5 beheben die folgenden Sicherheitsprobleme:

  1. Gerendi Sandor Attila hat Angriffspunkte für XSS in den Formularen zum Senden von E-Mails an andere User und zum Verschicken von Artikeln per E-Mail gefunden.
  2. Die Funktion zum Verschicken von Artikeln per E-Mail hat darüber hinaus die Artikel-Rechte nicht beachtet, so dass man u.U. Artikel verschicken konnte, auch wenn man nicht die Berechtigung hatte, den Artikel auf der Website einzusehen.

Darüber hinaus haben wir noch zwei Bugs in Geeklog 1.6.0 behoben: Wenn man die Moderation für Artikel-Einreichungen abschaltete, gab es einen SQL-Fehler. Zudem wurde an einigen Stellen eine nicht-vorhandene Funktion aufgerufen.

Es stehen folgende Dateien zum Download bereit:

Druckfähige Version anzeigen

Geeklog 1.5.2sr4

Sicherheit

Leider kommen die Sicherheits-Updates zur Zeit in einem Tempo, dass ich kaum dazu komme, geeklog.info mit zu aktualisieren. Geeklog 1.5.2sr3 (und ein Problem mit den Webservices) können wir daher gleich überspringen und kommen nun zu Geeklog 1.5.2sr4. Dieses Update behebt eine SQL-Injection in usersettings.php und steht nun zum Download bereit, wahlweise als

  • "Combo"-Update, d.h. mit allen bisherigen 1.5.2er-Updates in einem Archiv, oder als
  • Komplett-Archiv für Neuinstallationen und zum Update von früheren Versionen
Druckfähige Version anzeigen

Geeklog 1.5.2sr2

Sicherheit

Bookoo von der Nine Situations Group hat einen Exploit für eine SQL-Injection in glFusion veröffentlicht, der auch für Geeklog funktioniert. Damit war es möglich, den Passwort-Hash eines beliebigen Users auszulesen. Dieses Problem besteht in allen bisher veröffentlichten Geeklog-Versionen und wird mit Geeklog 1.5.2sr2 nun behoben.

Es stehen ein Update-Archiv sowie ein neues Komplettarchiv für Geeklog 1.5.2sr2 zum Download bereit. Das Update-Archiv enthält nur eine neue lib-sessions.php, die auch zum Update von Geeklog 1.4.1, 1.5.0 und 1.5.1 benutzt werden kann.

Als vorübergehende Maßnahme sowie zur Sicherung von älteren, nicht mehr unterstützten Geeklog-Versionen, kann auch die folgende Änderung an der Konfiguration vorgenommen werden: