TNG Sicherheitsproblem

Hier ist der Platz für die Programmierprofis, die den Code oder eigene Erweiterungen besprechen wollen.
Antworten
salsa
VIP Mitglied
Beiträge: 232
Registriert: 20.06.2007 21:24

TNG Sicherheitsproblem

Beitrag von salsa » 11.04.2008 16:32

Liebe TNG User/innen,

der Entwickler der TNG-Anwendung, Darrin Lythgoe, hat am 9. April
2008, nachfolgende Meldung über die amerik. TNG-Mailingliste
herausgegeben.
Ich habe die Meldung, so gut ich es konnte, ins Deutsche übersetzt
;-)
Kleine Fehler in der Übersetzung bitte ich mir nachzusehen.

Zuerst gebe ich den Originaltext seines Postings hier bekannt.
Danach folgt dann die Übersetzung.

Englisch:
Hi everyone,

A security issue has been identified in TNG 6.2.0 and most
previous versions, and a patch has been developed. All zip
files on the v6 downloads page have been updated with the new
code. The affected files are:

genlib.php
globallib.php

To update your own site, please choose ONE of the following:

1. Upgrade to 6.2.0.

2. If you're already running 6.2.0, you can download the full
version or any update from the v6 downloads page
(http://tng.lythgoes.net/downloads6), then extract and upload
those two files.

3. No matter what version you're running, you can edit both
genlib.php and globallib.php as they exist now on your site
and add the following line right at the top, immediately AFTER the
first "<?php" marker:

if($_GET['cms'] || $_POST['cms']) die("Sorry!");

If you choose option #3 and your site ceases to work after you
publish the updated files, please check to make sure you
have entered everything correctly, and that your editor has not
introduced any blank lines or spaces at the top or
bottom of the files.

This should be done as soon as possible to protect your site from
outside attacks. Please let me know if you have any
questions.

Sincerely,
Darrin Lythgoe

*********************************************************
Deutsch:
Hallo alle,

es wurde in TNG 6.2.0 und in den meisten früheren Versionen eine
Sicherheitslücke entdeckt, und es wurde ein Patch entwickelt. Alle
zip-Dateien auf der v6 Download-Seite wurden mit dem neuen Code
aktualisiert. Die betroffenen Dateien sind:

Genlib.php
Globallib.php

Um Ihre eigene Website zu aktualisieren, wählen Sie bitte eine der
folgenden Optionen:

1. Upgrade auf 6.2.0.

2. Wenn Sie bereits 6.2.0 verwenden, können Sie die Vollversion
oder ein Update von der v6 Download-Seite
(Http://tng.lythgoes.net/downloads6) Herunterladen, dann
extrahieren und die beiden Dateien hochladen.

3. Egal, welche Version Sie verwenden, können Sie beide genlib.php
und globallib.php bearbeiten, wie sie jetzt auf Ihrer Website
existieren und fügen die folgende Zeile rechts oben, gleich NACH
dem ersten "<? Php" Marker, ein:

If($_GET ['cms'] || $_POST['cms'])die("Sorry!");

Wenn Sie Option # 3 wählen, und Ihre Website arbeitet nicht mehr,
nachdem Sie die aktualisierten Dateien hochgeladen haben,
überprüfen Sie, ob Sie alles richtig eingegeben haben, und dass
Ihr Editor keine leeren Zeilen oder Leerzeichen am Anfang oder am
Ende der Dateien eingefügt hat.

Dies sollte so schnell wie möglich gemacht werden, um Ihre Website
vor Angriffen von außen zu schützen. Bitte lassen Sie mich wissen,
wenn Sie irgendwelche
Fragen haben.

Mit freundlichen Grüßen,
Darrin Lythgoe

***************************************************

Ich habe die beiden Dateien "hochgeladen/kopiert".

Bislang habe ich keine Einschränkungen beim Betrieb von TNG
feststellen können.

Viele Grüße

Heinz (salsa)

Benutzeravatar
Thomas
Site Admin
Beiträge: 1834
Registriert: 06.05.2002 11:22
Wohnort: Stuttgart
Kontaktdaten:

Beitrag von Thomas » 11.04.2008 17:44

Hallo Heinz,

vielen Dank für diesen wichtigen Hinweis.
Ich habe die beiden Dateien manuell um die genannte Zeile ergänzt und auf den Server geladen.
Alles scheint ohne Probleme zu laufen.
Viele Grüße
Thomas

Antworten