Diese Woche wurde ein gravierender Bug in den PEAR XML-RPC Klassen gefunden, der es ermöglicht beliebigen Code auf dem Webserver ausfzuführen.
Da diese XML-RPC Klasse sehr verbreitet ist, wird sie unter anderem auch von Serendipity eingesetzt. Heute wurde Version 0.8.2 von Serendipity aufgrund dieses Bugs veröffentlicht.
Alle Benutzer sind dringend dazu aufgefordert ihr Serendipity zu aktualisieren oder zumindest als temporären Fix die Datei "serendipity_xmlrpc.php" zu nutzen. Diese Datei ist dafür zuständig, Programmen wie ecto oder MarsEdit XML-Funktionen zur Verfügung zu stellen mit denen Serendipity administriert werden kann. Dies ist für den "normalen" Einsatz von Serendipity nicht nötig und kann auf vielen Installationen gelöscht werden.
Letztlich möchte ich nochmal darauf hinweisen, dass extrem viele PHP-Anwendungen (Wikis, Blogs) von diesem Bug betroffen sind, der in Kürze sehr viel Schaden anrichten könnte. Daher bitte umgehend auch andere Webanwendungen auf solche Bugs prüfen!
Die aktuelle Version von Serendipity gibt es hier:
Download 0.8.2. Das englische Announcement befindet sich hier:
blog.s9y.org.
thomasnesges/blog am : Kritischer XML-RPC Bug
Vorschau anzeigen
/* basquiat's lovely winter riot */ am : Wichtige Updates für s9y und phpBB
Vorschau anzeigen