Hallo, lieber Forumbenutzer. Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen Möglichkeiten der Kommunikation ist das Forum ein wenig eingeschlafen und weniger Nutzer benutzen das Forum aktiv (trotzdem lohnt es sich evtl. hier nach Lösungen zu suchen oder seine Frage zu stellen).

Wir empfehlen, für deine Fragen/Probleme aktuell (zusätzlich) Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: http://redaxo.org/slack/
Benutzeravatar
Markus.Lorch
Beiträge: 682
Registriert: 21. Okt 2007, 17:22
Wohnort: Walheim

Community AddOn - Security-Update

29. Aug 2012, 18:32

Wie bereits unter redaxo.org angekündigt hat sich in das Community-AddOn bedauerlicherweise eine Sicherheitslücke eingeschlichen.

Diese wurde auf Github und im Download-Paket zwischenzeitlich ausgebessert. Wer seine Community nach dem 23.08.2012 heruntergeladen hat ist von der Sicherheitslücke also nicht betroffen.

Alle anderen sollten ein Update auf die aktuelle Version machen. Es wurden auch einige kleinere Bugs behoben. Ein Update lohnt sich also.

Download:
Komplettpaket: http://www.redaxo.org/de/download/
Github: https://github.com/dergel/redaxo4_community

Wer dies nicht möchte, oder eine schon etwas ältere Version hat und ein Update deshalb schwierig wird, kann die Sicherheitslücke auch händisch beseitigen.

Anleitung:

in der Datei redaxo/include/addons/community/plugins/auth/inc/auth.php folgende Code-Stelle suchen (gleich ganz oben) In einigen älteren Versionen kann die Datei auch noch auth.inc.php heißen.

Code: Alles auswählen

$login_name = stripslashes(rex_request($REX['ADDON']['community']['plugin_auth']['request']['name'],"string"));
$login_psw = stripslashes(rex_request($REX['ADDON']['community']['plugin_auth']['request']['psw'],"string")); 
und durch folgenden Code ersetzen:

Code: Alles auswählen

$login_name = rex_request($REX['ADDON']['community']['plugin_auth']['request']['name'],"string");
$login_psw = rex_request($REX['ADDON']['community']['plugin_auth']['request']['psw'],"string");
Das wars. Eure COM ist anschließend wieder sicher.
Grüße,
Markus Lorch

Tschüssle sagt Herr Nüssle

Zurück zu „Neuigkeiten“