Garvin Hicking hat Version 1.5.3 der Blog-Software Serendipity (S9y) veröffentlicht. Es handelt sich dabei um ein Security-Release, das von allen Usern schnellstmöglich eingespielt werden sollte.
- Download
- S9y 1.5.3, 6,4 MB
Hicking hat mit diesem Update umgehend auf eine Meldung von Stefan Esser reagiert, der im Zuge des Month Of PHP Security (MOPS) eine Schwachstelle im WYSIWYG-Editor Xinha entdeckt hatte. Einige Module dieses Editors greifen auf den Dynamic Configuration Loader zurück – und dieser Loader erlaubt es, Dateien mit Schadcode auf den Server hochzuladen. Selbst dann, wenn man nicht im Backend angemeldet ist.
Due to the seriousness of this bug, we urge everyone to upgrade their installations. People who don't want the hassle of a full upgrade and are not using the mentioned Xinha-plugins actively, can simply delete the file htmlarea/contrib/php-xinha.php, which will render the mentioned plugins and exploits useless.Garvin Hicking, 2010
Ein schönes Beispiel dafür, dass der MOPS funktioniert.
Update
Ein kleines Update ist an dieser Stelle angebracht: so haben die Entwickler des Xinha-Editors ebenfalls schnell reagiert und die Lücke umgehen geschlossen.
