TikiWiki 1.9.8.3 schließt Sicherheitslücke richtig
Das Update auf TikiWiki 1.9.8.1 sollte eine Sicherheitslücke schließen, tat dies allerdings nicht korrekt. Eine weitere Aktualisierung soll den Fehler nun tatsächlich beheben.
Eine kritische Lücke im Wiki-System TikiWiki sollte ursprünglich die Version 1.9.8.1 beheben. Stefan Esser hat jedoch weitere Wege gefunden, über tiki-graph_formula.php mit präparierten URLs PHP-Befehle abzusetzen und so einen Server zu kompromittieren. Die jetzt verfügbare Version 1.9.8.3 soll die Schwachstelle richtig abdichten.
Für kurze Zeit haben die Entwickler die Version 1.9.8.2 zum Download bereitgestellt, die neben dem Fehler in tiki-graph_formula.php noch weitere, bislang unbekannte und nicht genannte Lücken in der Software beseitigt. Allerdings funktionierte nach dem Update die Anzeige von Bildern aus der Bildergalerie nicht mehr. Diesen Fehler haben die Entwickler in Version 1.9.8.3 behoben.
Da die neue TikiWiki-Version kritische Lücken schließt, sollten Administratoren das Update zügig einspielen. Für ältere Versionen haben die Programmierer auf den Sourceforge-Seiten des Projektes auch Patches bereitgestellt, die die Schwachstellen beheben sollen.
Siehe dazu auch:
- TikiWiki Remote PHP Code Evaluation Vulnerability, Sicherheitsmeldung von Stefan Esser
- Bugfix release 1.9.8.3, Ankündigung der aktualisierten Version von den TikiWiki-Entwicklern
- Download der aktualisierten Version und der Patches von Sourceforge
- Kritische Lücke in Wiki-System TikiWiki, Meldung von heise Security vom 11. 10. 2007
(dmk)
