Navigation

Suche

Nichts gefunden?
Suche mit erweiterten Optionen.

Anzeigen

Anmeldung

Download

Aktuelle Version
Zikula 1.0.2

Dt. Sprachpakete Download

SVN Nightly Builds
Zikula SVN Build

Artikel-Archiv

nach Kategorie: Buch-Tipps.; CMS Allgemein.; CMS Anleitungen.; CMS Blöcke.; CMS Interview.; CMS Module.; CMS Sicherheit.; CMS Themes.; pnMeeting.; PostNuke e.V..; Steering Committee.

nach Datum: September 2008.; August 2008.; Juli 2008.; Juni 2008.; Mai 2008.; April 2008.; März 2008.; Februar 2008.; Januar 2008.; Dezember 2007.; November 2007.; Oktober 2007.

Sicherheitswarnung: unkritische Lücke in Postnuke .7x

Mittwoch, 04. Oktober 2006, 9 Kommentare

geschrieben von

kaffeeringe.de
Steffen Voß
Dabei seit: 2002
Benutzerprofil
PM senden

Diesen Artikel...
per E-Mail versenden
drucken
bookmarken

CMS Sicherheit : Wie Secunia am gestrigen Tag meldete, gibt es eine Sicherheitslücke in Postnuke .7x - Über die Administration des Downloadsmoduls lassen sich unter Umständen SQL-Statements einschleusen. Da man hierfür schon vorher Admin-Rechte haben muss, wird die Lücke aber als nicht kritisch eingestuft.
In diesem Zusammengang sorgt übrigens auch die empfohlene PHP-Einstellung magic_quotes_gpc=on für zusätzliche Sicherheit. Das zugrundeliegende Problem ist auch schon im SVN gefixt: *klick* und in den nächsten Tagen gibt es sowohl ein Patchpaket als auch eine offizielle Version .763.

Wie man schon an der neuen Versionsnummer erkennen kann, handelt es sich dabei um ein reines Bugfix-Release, mit dem gleichzeitig verschiedene andere Probleme gelöst werden sollen.

Der Postnuke e.V. rät allen Webmastern, sich auf ein Update vorzubereiten. Die Arbeit wird sich aber auf das einfach Überkopieren der neuen Dateien beschränken.

Links
Secunia.com

Kommentare

Nur angemeldete Benutzer dürfen Kommentare verfassen.

Zur Registrierung/Anmeldung

so lob ich mir das !

ph!L am 04.10.2006 um 13:05 Uhr

.763 hat noch ein paar weitere Gimmicks ;-)

Selbstredend wurden für die .763 auch alle bisher im Bugtracker eingetragenen Fehler gefixt und zusätzlich die Benutzerregistrierung um eine (optionale und frei konfigurierbare) Frage als Spamschutz erweitert, Demo bei uns

larsneo am 04.10.2006 um 13:14 Uhr

sehr schön!
klasse sevice

rebel am 05.10.2006 um 21:38 Uhr

Zitat
klasse sevice
Hast du etwa was anderes erwartet

Lindbergh am 05.10.2006 um 22:12 Uhr

sind bei dem Update auch die neuen ADODb und Smarty versionen dabei? (afaik sind welche raus, oder?)

nicname am 05.10.2006 um 22:44 Uhr

Ja, siehe SVN: ADODb 4.91 und Smarty 2.6.14.

Landseer am 06.10.2006 um 07:55 Uhr

Aktuell ist aber ADODb 4.92a, nur nebenbei

planetenkiller am 06.10.2006 um 15:58 Uhr

aktuell wäre inzwischen sogar ADODb 4.93 - aber man muss ja nicht unbedingt 'bleeding edge' leben (wenn keine sicherheitsrelevanten probleme gefixt wurden) und kann von daher durchaus auch auf ein 'proven stable' vertrauen

larsneo am 10.10.2006 um 10:23 Uhr

Ungeduldig

Wann ist denn 'in den nächten Tagen' vorbei?!?

TheRealOne am 10.10.2006 um 13:23 Uhr