In dem Content Management System PostNuke sind zwei Löcher aufgetaucht, durch die beliebige Datei-Inhalte offen gelegt sowie ohne Anmeldung Kommentare eingetragen werden könnten. Die PostNuke-Programmierer schließen diese Lücken mit einer neuen Version der CMS-Software.

Der erste Fehler liegt in der GeSHi-Bibliothek des pn_bbcode-Moduls. Hierbei handelt es sich um eine Dritthersteller-Komponente. Der Sicherheitsmeldung der Entwickler ist zu entnehmen, dass Administratoren der 0.760-Version die Datei ./modules/pn_bbcode/pnincludes/contrib/example.php löschen oder auf die neue 0.761-Platinum-Version von PostNuke aktualisieren sollen.

Die zweite Lücke, durch die unangemeldete Nutzer Kommentare einfügen können, betrifft alle 0.7x-Versionen von PostNuke. Hier hilft einzig das Aktualisieren der Software auf den Stand 0.761.





<- Zurück zu: Weblog