Dienstag, 24 Februar 2009 09:35

eXtplorer 2.0.1 - Sicherheitsupdate erschienen

extplorerEine neue Sicherheits-Version 2.0.1 des eXtplorer (ein auf PHP und Javascript basierender Filemanager, früher bekannt gewesen als JoomlaXplorer) ist freigegeben worden. Der eXplorer dient zur Verwaltung des Webverzeichnisses aus dem Joomla! Backend-Bereich heraus. Diese Komponente kann unter Joomla 1.5.x nativ als auch unter Joomla 1.0.x verwendet werden.

Versionshinweise und "Changelog"

Release-Name: eXtplorer 2.0.1


Anmerkung:
Diese Version von eXtplorer behebt eine Sicherheitslücke (file contents disclosure = Offenlegung der Datei-Inhalte), welche in allen Versionen (kleiner=gleich) (<= 2.0.0.) vorkommt. Eine neue Funktion wurde hinzugefügt: WebDAV-Support. Mehr Informationen finden Sie demnächst auf der Webseite des Entwicklers.

Es wurden weitere Fehler behoben.

Änderungen:
  • Script hinzugefügt für WebDAV-Zugriff (defaultmässig deaktiviert, benötigt 2 Datenbanktabellen und ein -Login)
  • Sicherheitsmeldung wurde behoben in der "script initialization".
Des Weiteren kann der extplorer auch Standalone, also unabhängig von Joomla!, installiert werden.

Installation als Standalone Script
  1. Archiv entpacken (wo das README.txt enthalten ist) in ein Verzeichnis auf Ihrem Rechner.
  2. Loggen Sie sich auf Ihrem FTP ein und erstellen Sie ein Unterverzeichnis für den eXtplorer.
  3. Laden Sie alle eXtplorer-Dateien von Ihrem Computer in das Unterverzeichnis des Servers das Sie erstellt haben
  4. Öffnent Sie mit dem Browser die entsprechende Adresse: http://<IHREURL>/<UNTERVERZEICHNIS> und melden Sie sich an. Vergessen Sie nicht, umgehend das Passwort für den Administrator zu ändern.
  5. Falls Sie das Passwort für den Administrator nicht ändern können liegt es möglicherweise daran, dass die Benutzer-Datei nicht beschreibbar ist. Mit Ihrem FTP-Programm können Sie die Berechtigungen neu einstellen. Gehen Sie in das Verzeichnis "/config" und stellen Sie die Datei ".htusers.php" um auf "writable" (CHMOD 666).
Das Entwicklerteam rät dringend auf die neue Version zu wechseln, einfach deinstallieren und neu installieren!

Download | Webseite
Published in Sicherheitsmeldungen
Dienstag, 24 Februar 2009 18:17

Bequemer oder nur gefährlicher?

myadminEin Zugang über das Backend auf die Datenbank! Klasse, weil sehr einfach und nicht mehr so klasse, wenn wir an die Sicherheit denken. Die Erweiterung „JoomMyAdmin“ macht das Leben des Admin bequem und gefährlich zugleich. Die Komponente integriert die PHP Applikation phpMyAdmin zur Administration der Datenbank in den Backend-Bereich. Sie setzt voraus, dass der User umfangreiche Vorsichtsmaßnahmen beachtet und durchführt.

 

Wenn wir uns fragen, wofür die Erweiterung gut ist ,bleiben wir die Antwort schuldig. Natürlich gibt es viele Erweiterungen, deren Nutzen umstritten ist. Bei „JoomMyAdmin“ ist der Nutzen aber nicht nur umstritten, er ist gefährlich. Wer wirklich gute Kenntnisse im Datenbankbereich besitzt, braucht den schnellen Zugang zur Datenbank, zum Beispiel zur Entwicklung. Diejenigen, die diese Kenntnisse haben, sind also Entwickler von Erweiterungen, die aber eher den direkten Zugang über den Browser bevorzugen. Außerdem nutzen Entwickler die Möglichkeit lokal zu arbeiten und zu testen.

 

Der normale Admin einer Joomla! Webseite legt einmal, wenn er Joomla! installiert, einen Datenbanknamen im MyAdmin Bereich fest und braucht die Datenbank nicht, oder nur sehr selten, zu administrieren. Die Installation und das Eenspielen von allen anderen, datenbankbezogenen Informationen wird von Joomla! und den Joomla!-Erweiterungen automatisch vorgenommen.

 

Nur wer keinen phpMyAdmin hat, sollte diese Komponente installieren und auch nur dann, wenn er weiß was er tut.

Behutsames Vorgehen sollte erste Priorität genießen.

 

Download