In dem weit verbreiteten Content Management System (CMS) PostNuke sind zwei Löcher aufgetaucht, durch die beliebige Datei-Inhalte offen gelegt sowie ohne Anmeldung Kommentare eingetragen werden könnten. Die PostNuke-Programmierer schließen diese Lücken mit einer neuen Version der CMS-Software.
Der erste nicht näher erläuterte Fehler liegt in der GeSHi-Bibliothek des pn_bbcode-Moduls. Hierbei handelt es sich um eine Dritthersteller-Komponente. Der Sicherheitsmeldung der Entwickler ist zu entnehmen, dass Administratoren der 0.760-Version die Datei ./modules/pn_bbcode/pnincludes/contrib/example.php löschen oder auf die neue 0.761-Platinum-Version von PostNuke aktualisieren sollen.
Die zweite Lücke, durch die unangemeldete Nutzer Kommentare einfügen können, betrifft alle 0.7x-Versionen von PostNuke und wird in einer zweiten Sicherheitsmeldung der Programmierer ebenfalls nicht detaillierter erklärt. Hier hilft einzig das Aktualisieren der Software auf den Stand 0.761.
Update:
Die GeSHi-Bibliothek kommt auch in diversen anderen Software-Paketen zum Einsatz, unter anderem in Docuwiki, WordPress, PHP-Fusion, SQL Manager, Mambo, MediaWiki und TikiWiki. Wer diese Pakete im Einsatz hat, sollte hier nach Updates der Hersteller Ausschau halten beziehungsweise die Workarounds aus der Securityreason-Mitteilung umsetzen.
Siehe dazu auch:
* Local file inclusion via pn_bbcode, Meldung der PostNuke-Entwickler
* Anonymous posting via Comments module, Meldung der PostNuke-Entwickler
* GeSHi Local PHP file inclusion von Securityreason zur GeSHi-Lücke
Quelle und Links :
http://www.heise.de/newsticker/meldung/64410
