Mittwoch, 13. April 2005
Serendipity 0.8-beta6 Sicherheitsfix
Gerade habe ich einen neuen 0.8-beta6 Snapshot von Serendipity hochgeladen, bei dem ein SQL-Sicherheitsproblem mit dem URL-Tracking behoben wird. Dieses Leck wurde vorhin in den Serendipity-Foren veröffentlicht, und um dort schnell zu reagieren war das leider notwendig.
Liebe Sicherheitsspezis - leider können wir OpenSource-Entwickler nicht immer sofort auf alles reagieren, und brauchen auch manchmal Zeit ein "Leck" zu analysieren. Das so etwas vorkommt ist traurig genug, aber bei großem Quellcode, verschiedenen Entwicklern und vor allem Freizeit-Arbeit nicht zu vermeiden - aber dann auch noch ein öffentlich gemachtes Sicherheitsleck hotfixen zu müssen, ist mehr als ärgerlich.
Alle Serendipity 0.8 Benutzer sei daher ans Herz gelegt ihre Version zu aktualisieren. 0.7.1 enthielt den Bugfix bereits, wurde aber fehlerhaft auf 0.8 migriert.
Für Freitag ist zwar die 0.8 Finalversion geplant, aber wer weiß was bis dahin passieren kann. Wer nicht heute und am Freitag direkt nochmal aktualisieren möchte, der möge bitte bis dahin einfach seine "exit.php" Datei löschen und das Texttransformationsplugin "Links zählen" aus seinen Plugins entfernen. Dieses Plugin ist zumindest seit Serendipity 0.8 kein Standard mehr, daher hilft meistens das Entfernen der exit.php.
Das englische Announcement ist noch etwas ausführlicher und enthält die Download-Links.
Liebe Sicherheitsspezis - leider können wir OpenSource-Entwickler nicht immer sofort auf alles reagieren, und brauchen auch manchmal Zeit ein "Leck" zu analysieren. Das so etwas vorkommt ist traurig genug, aber bei großem Quellcode, verschiedenen Entwicklern und vor allem Freizeit-Arbeit nicht zu vermeiden - aber dann auch noch ein öffentlich gemachtes Sicherheitsleck hotfixen zu müssen, ist mehr als ärgerlich.
Alle Serendipity 0.8 Benutzer sei daher ans Herz gelegt ihre Version zu aktualisieren. 0.7.1 enthielt den Bugfix bereits, wurde aber fehlerhaft auf 0.8 migriert.
Für Freitag ist zwar die 0.8 Finalversion geplant, aber wer weiß was bis dahin passieren kann. Wer nicht heute und am Freitag direkt nochmal aktualisieren möchte, der möge bitte bis dahin einfach seine "exit.php" Datei löschen und das Texttransformationsplugin "Links zählen" aus seinen Plugins entfernen. Dieses Plugin ist zumindest seit Serendipity 0.8 kein Standard mehr, daher hilft meistens das Entfernen der exit.php.
Das englische Announcement ist noch etwas ausführlicher und enthält die Download-Links.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
bezüglich des Postens des Sicherheitsproblems im Forum: ich fürchte, unsere Freunde von der "Security" sind weniger darauf aus, den Entwicklern zu helfen. Ich hab' letztens eine Rangliste gesehen, wer wie viele Sicherheitslöcher gefunden hat. Scheint ein reiner Wettbewerb ohne Rücksicht auf Verluste zu sein. Ich habe letzten Monat an einem Freitag drei Security Announces in meinem Support-Forum gefunden. Die eine oder andere Woche Vorlauf mit Ankündigung per E-Mail wäre ganz nett gewesen. Da kommt Freude auf. Die Sitten werden rauher.
s9y - auch bekannt als Das beste blog der WeltTM - 0.8 ist jetzt draußen, Garvin war gerade so freundlich, uns in #s9y darauf hin zu weisen. Der Download der neuen Version ist sehr zu empfehlen, da in den letzten Tagen Sicherheitslücken in s9y bekannt
Aufgenommen: Apr 15, 23:22