Serendipity Security-Update 1.1.3 veröffentlicht
17. Juni 2007 von Farlion | Serendipity
Für Serendipity wurde heute die Version 1.1.3 veröffentlicht und im gleichen Zug die beta2 der 1.2-Version (Originalmeldung hier).
Der Grund dafür ist ein Bug im Kommentarsystem, der eine SQL-Injection über die Variable “commentMode” ermöglicht, mit der weitergehende Informationen abgegriffen werden können.
Dieser Fehler betrifft alle Versionen ab 1.1 und auch die 1.2 beta, ältere Versionen sind nicht betroffen.
User ab Version 1.1 sollten dieses Update schnellstens vornehmen, da der Bug durchaus als kritisch einzustufen ist.
Hier geht es zum Download.
Wer sich die Arbeit eines kompletten Updates sparen will, der kann auch einfach das File include/functions_comments.inc.php patchen, indem er die Zeile
$type = $serendipity['GET']['commentMode'];
in
$type = serendipity_db_escape_string($serendipity['GET']['commentMode']);
ändert.
Was ist ein Trackback?
2 Trackbacks/Pings:
1
Farlion Inside
Trackback vom 17. Juni 2007, 15:26
Serendipity-Update auf 1.1.3.... Ein kritisches Sicherheitsupdate ist für alle User des s9y-Systems ab Version 1.1 angesagt. Durch einen Bug in der Kommentarfunktion ist eine SQL-…
2
Nur ein Blog
Trackback vom 17. Juni 2007, 19:30
Sicherheitsproblem in Serendipity - Update erforderlich... Wie das Serendipity Blog vermeldet, gibt es in der Kommentarfunktion der Version 1.1 (vorherige Versionen sind nicht betr…
Die Kommentarmöglichkeit ist derzeit für diesen Artikel ausgeschaltet.