Mittwoch, 29. Juni 2005

Kritischer XML-RPC Bug, Serendipity betroffen

Diese Woche wurde ein gravierender Bug in den PEAR XML-RPC Klassen gefunden, der es ermöglicht beliebigen Code auf dem Webserver ausfzuführen.

Da diese XML-RPC Klasse sehr verbreitet ist, wird sie unter anderem auch von Serendipity eingesetzt. Heute wurde Version 0.8.2 von Serendipity aufgrund dieses Bugs veröffentlicht.

Alle Benutzer sind dringend dazu aufgefordert ihr Serendipity zu aktualisieren oder zumindest als temporären Fix die Datei "serendipity_xmlrpc.php" zu nutzen. Diese Datei ist dafür zuständig, Programmen wie ecto oder MarsEdit XML-Funktionen zur Verfügung zu stellen mit denen Serendipity administriert werden kann. Dies ist für den "normalen" Einsatz von Serendipity nicht nötig und kann auf vielen Installationen gelöscht werden.

Letztlich möchte ich nochmal darauf hinweisen, dass extrem viele PHP-Anwendungen (Wikis, Blogs) von diesem Bug betroffen sind, der in Kürze sehr viel Schaden anrichten könnte. Daher bitte umgehend auch andere Webanwendungen auf solche Bugs prüfen!

Die aktuelle Version von Serendipity gibt es hier: Download 0.8.2. Das englische Announcement befindet sich hier: blog.s9y.org.
Geschrieben von garvin in PHP / Software um 15:40 | Kommentare (4) | Trackbacks (2)


Trackbacks
Trackback-URL für diesen Eintrag

thomasnesges/blog am : Kritischer XML-RPC Bug

Vorschau anzeigen
Auch Serendipity benutzt das PEAR-Package XML_RPC und das hat einen kritischen Bug, der es ermöglicht beliebigen Code auf dem Webserver ausfzuführen. Der Fehler ist behoben unf für Serendipity gibt's bereits ein Update, das dringend eingespielt werden sol

/* basquiat's lovely winter riot */ am : Wichtige Updates für s9y und phpBB

Vorschau anzeigen
Dieser Tage galt es, zweierlei kritische Sicherheitslücken durch das Einspielen aktueller Updates auf verschiedenen Servern zu schließen. Wer die Freude hat, das Forensystem phpBB administrativ beaufsichtigen zu dürfen, dem ist das Ausmerzen der regelmäss

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

vllt sollte man serendipity_xmlrpc.php lieber löschen statt zu nutzen ;))
#1 Jannis (Link) am 29.06.2005 21:47 (Reply)
War ja klar, kaum starte ich mein zweites s9y Blog (diesmal Themenbezogen), dann gibt es am gleichen Tag eine neue Version :(
#2 Chris (Link) am 29.06.2005 23:47 (Reply)
Bei supersized.org kannst du auch deine eigene Domain benutzen, musst dich aber um sowas nicht kümmern ;)
#2.1 Jannis (Link) am 30.06.2005 09:00 (Reply)
Ich bin aber lieber selber Herr meines Blogs, und schalte Werbung die ich will, wenn ich sie will ;)
#2.1.1 Chris (Link) am 30.06.2005 10:07 (Reply)

Kommentar schreiben

BBCode-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA