Mittwoch, 29. Juni 2005
Kritischer XML-RPC Bug, Serendipity betroffen
Diese Woche wurde ein gravierender Bug in den PEAR XML-RPC Klassen gefunden, der es ermöglicht beliebigen Code auf dem Webserver ausfzuführen.
Da diese XML-RPC Klasse sehr verbreitet ist, wird sie unter anderem auch von Serendipity eingesetzt. Heute wurde Version 0.8.2 von Serendipity aufgrund dieses Bugs veröffentlicht.
Alle Benutzer sind dringend dazu aufgefordert ihr Serendipity zu aktualisieren oder zumindest als temporären Fix die Datei "serendipity_xmlrpc.php" zu nutzen. Diese Datei ist dafür zuständig, Programmen wie ecto oder MarsEdit XML-Funktionen zur Verfügung zu stellen mit denen Serendipity administriert werden kann. Dies ist für den "normalen" Einsatz von Serendipity nicht nötig und kann auf vielen Installationen gelöscht werden.
Letztlich möchte ich nochmal darauf hinweisen, dass extrem viele PHP-Anwendungen (Wikis, Blogs) von diesem Bug betroffen sind, der in Kürze sehr viel Schaden anrichten könnte. Daher bitte umgehend auch andere Webanwendungen auf solche Bugs prüfen!
Die aktuelle Version von Serendipity gibt es hier: Download 0.8.2. Das englische Announcement befindet sich hier: blog.s9y.org.
Da diese XML-RPC Klasse sehr verbreitet ist, wird sie unter anderem auch von Serendipity eingesetzt. Heute wurde Version 0.8.2 von Serendipity aufgrund dieses Bugs veröffentlicht.
Alle Benutzer sind dringend dazu aufgefordert ihr Serendipity zu aktualisieren oder zumindest als temporären Fix die Datei "serendipity_xmlrpc.php" zu nutzen. Diese Datei ist dafür zuständig, Programmen wie ecto oder MarsEdit XML-Funktionen zur Verfügung zu stellen mit denen Serendipity administriert werden kann. Dies ist für den "normalen" Einsatz von Serendipity nicht nötig und kann auf vielen Installationen gelöscht werden.
Letztlich möchte ich nochmal darauf hinweisen, dass extrem viele PHP-Anwendungen (Wikis, Blogs) von diesem Bug betroffen sind, der in Kürze sehr viel Schaden anrichten könnte. Daher bitte umgehend auch andere Webanwendungen auf solche Bugs prüfen!
Die aktuelle Version von Serendipity gibt es hier: Download 0.8.2. Das englische Announcement befindet sich hier: blog.s9y.org.
Montag, 20. Juni 2005
Serendipity "Testwinnar"
Da freut sich das Entwicklerherz; Serendipity wurde in der niederländischen CHIP als bestes PHP/MySQL Blogsystem gekürt und lässt die Konkurrenz gut hinter sich.Jedoch sehe ich den Test eher mit lachenden und weinendem Auge; die Testkriterien sind teilweise etwas haarsträubend, und auch nicht sauber recherchiert. So bietet Serendipity durchaus die meisten der als fehlend angekreuzten Features als Plugin, während es die Option wie "zentrale Blacklist" eigentlich nur als DNS/SURBL unterstützt.
Dennoch freue ich mich sehr über diesen Test, der zumindest einige Benutzer vielleicht mal dazu anregt, Serendipity probe zu fahren. Danke, CHIP!
(via s9y Blog)
