Tuesday, 24 February 2009 09:35

eXtplorer 2.0.1 - Sicherheitsupdate erschienen

extplorerEine neue Sicherheits-Version 2.0.1 des eXtplorer (ein auf PHP und Javascript basierender Filemanager, früher bekannt gewesen als JoomlaXplorer) ist freigegeben worden. Der eXplorer dient zur Verwaltung des Webverzeichnisses aus dem Joomla! Backend-Bereich heraus. Diese Komponente kann unter Joomla 1.5.x nativ als auch unter Joomla 1.0.x verwendet werden.

Versionshinweise und "Changelog"

Release-Name: eXtplorer 2.0.1


Anmerkung:
Diese Version von eXtplorer behebt eine Sicherheitslücke (file contents disclosure = Offenlegung der Datei-Inhalte), welche in allen Versionen (kleiner=gleich) (<= 2.0.0.) vorkommt. Eine neue Funktion wurde hinzugefügt: WebDAV-Support. Mehr Informationen finden Sie demnächst auf der Webseite des Entwicklers.

Es wurden weitere Fehler behoben.

Änderungen:
  • Script hinzugefügt für WebDAV-Zugriff (defaultmässig deaktiviert, benötigt 2 Datenbanktabellen und ein -Login)
  • Sicherheitsmeldung wurde behoben in der "script initialization".
Des Weiteren kann der extplorer auch Standalone, also unabhängig von Joomla!, installiert werden.

Installation als Standalone Script
  1. Archiv entpacken (wo das README.txt enthalten ist) in ein Verzeichnis auf Ihrem Rechner.
  2. Loggen Sie sich auf Ihrem FTP ein und erstellen Sie ein Unterverzeichnis für den eXtplorer.
  3. Laden Sie alle eXtplorer-Dateien von Ihrem Computer in das Unterverzeichnis des Servers das Sie erstellt haben
  4. Öffnent Sie mit dem Browser die entsprechende Adresse: http://<IHREURL>/<UNTERVERZEICHNIS> und melden Sie sich an. Vergessen Sie nicht, umgehend das Passwort für den Administrator zu ändern.
  5. Falls Sie das Passwort für den Administrator nicht ändern können liegt es möglicherweise daran, dass die Benutzer-Datei nicht beschreibbar ist. Mit Ihrem FTP-Programm können Sie die Berechtigungen neu einstellen. Gehen Sie in das Verzeichnis "/config" und stellen Sie die Datei ".htusers.php" um auf "writable" (CHMOD 666).
Das Entwicklerteam rät dringend auf die neue Version zu wechseln, einfach deinstallieren und neu installieren!

Download | Webseite
Published in Sicherheitsmeldungen
Tuesday, 24 February 2009 09:35

Sicherheitslücke ermöglicht Angriffe

warnungMit der bekannt gewordenen Sicherheitslücke in der Joomla!-Version 1.5.8 können Angreifer per Verzeichniswechselangriff beliebige Dateien einsehen.

Da der Code der 1.5.x gerade eingefroren wurde, kann man davon ausgehen, dass in den nächsten Tagen ein Update auf die Version 1.5.9 erscheinen wird. Es bleibt jedoch fraglich, ob das bis zum Bekanntwerden der Sicherheitslücke auch berücksichtig wurde, was nicht den Anschein hat.

Das ist auch nicht ganz so schlimm, denn in Joomla! ist nur ein 'connector' dabei. Der eigentliche Editor muss separat installiert werden von hier: http://xstandard.com/

Anforderungen.. http://xstandard.com/en/documentation/xstandard-dev-guide/requirements/

 

Der Editor ist an sich recht schlank und schön. Weil es ein Browser Plugin ist, der beim Client läuft und nicht alles aus dem Web geladen werden muss. Also halb so schlimm.

Published in Sicherheitsmeldungen
Tuesday, 24 February 2009 09:17

Simple Machine Forum SMF - Sicherheitsupdate

Bei der derzeitigen Version des SimpleMachines Forum 1.1.7 ist eine Sicherheitslücke bekannt geworden.
Diese Lücke kann von potentiellen Angreifern genutzt werden, um ein Script einzuschleusen.

Der Hintergrund ist, dass die Anwendung nicht geschlossene "[url]" BBcode Tags nicht richtig verarbeitet. Dadurch können möglicherweise Scripte und HTML Code eingeschleust werden, die im Browser des Benutzers während einer gültigen Session ausgeführt werden können. Sobald der Benutzer während diese Session auf ein verändertes Detail, z.B. einen Link klickt, wird der Code ausgeführt.
Das Problem tritt aber nur dann auf, wenn der Benutzer aktiv auf einen veränderten Link klickt.

Die Sicherheitslücke ist in der Version 1.1.7 erstmalig bekannt geworden. Andere Versionen können ebenfalls betroffen sein.

Lösung: Update auf die Version 1.18 auf der Website von SimpleMachines Forum

Originalmeldung bei Secunia
Published in Neuigkeiten
security_release Das Joomla Project gibt bekannt, dass ab sofort Joomla 1.5..10 [Wohmamni] zur Verfügung steht.. Dies ist ein Sicherheits-Release und ein Upgrade wird dringend angeraten.

In diesem Release sind 66 Bugs behoben, eine geringe und eine mittlere Sicherheitslücke geschlossen worden. Am 10. Januar 2009, also vor 11 Wochen, wurde  Joomla 1.5.9 veröffentlicht. on January 10, 2009. Die Entwickler Arbeitsgruppe(n) versuchen an einem solchen Veröffentlichungs-Zyklus festzuhalten und der Joomla!-Community in regelmässigen Abständen Aktualisierungen anbieten zu können.



Download

Download (Komplettversion)

Download (upgrade)


Versionshinweise

Bitte verfolgen Sie auch die späteren Versionshinweise für Joomla 1.5.10 (in englisch) im Hinblick auf wichtige Einzelheiten und hilfreiche Hinweise, die sich nach der Veröffentlichung ergeben haben.

Sicherheit

Eine geringe und eine mittlere Sicherheitslücke wurden in dieser Version geschlossen:

  • Mittlere Priorität: eine Serie von XSSund CSRF Fehler in der Administrator Anwendung. Betroffen sind Administrator-Komponenten inklusive com_admin, com_media, com_search. Beide com_admin und com_search beinhalten XSS-Sicherheitslücken, com_media beinhaltet 2 CSRF-Sicherheitslücken. Weitere Informationen (englisch) »
  • Niedrige Priorität: Eine  XSS -Sicherheitslücke existiert in der Kategorieansicht von com_content.  Weitere Informationen (englisch) »

Zusätzliche Informationen erhalten Sie im Joomla Security Center (englisch)

.

Published in Neuigkeiten