Willkommen, Gast
Benutzername: Passwort: Angemeldet bleiben:
Passwort vergessen? Benutzername vergessen? Registrieren
  • Seite:
  • 1
  • 2

THEMA: Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5

Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5 6 Jahre 1 Monat her #5902

  • b2m
  • b2ms Avatar
  • OFFLINE
  • Senior Mitglied
  • Beiträge: 963
Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5
Eine aktuelle Sicherheitswarnung betrifft zur Zeit alle Benutzer der Zoom Media Gallery. Durch einen manipulierten Aufruf mehrerer Dateien lässt sich über die " EXIF_Makernote.php" beliebiger Code auf den Server schleusen und ausführen. Möglich ist dies weil keine der Dateien im Exif-Pack gegen den direkten Aufruf geschützt sind. Scheint als wenn das leidige Problem noch nicht den letzten Programmierer von Komponenten erreicht hätte. Den Link zur Meldung setze ich vorerst nicht mit hier herein, er bietet quasi eine Anleitung wie man diese Lücke ausnutzen kann. Abhilfe schafft es, wenn man in der genannten Datei die Zeile
$dir = "$mosConfig_absolute_path/components/com_zoom/iptc/makernotes/";
durch
$dir = dirname(__FILE__) . "/makernotes/";
ersetzt. Ein Patch seitens des Programmierers war bis jetzt nicht zu finden. Betroffen scheinen auch die ganz aktuellen Release Candidate zu sein. Dank an Devil für den Hinweis, und b2m für die schnelle Analyse zu später Stunde.
{mos_smf_discuss}

Achtung: in älteren Versionen der Zoomgallery muss noch die Zeile
include_once("$mosConfig_absolute_path/components/com_ice/classes/iptc/EXIF.php");
angepasst werden durch
include_once("EXIF.php");

Diese Sicherheitslücke betrifft alle auf diesen Dateien basierenden Hacks (z.B. den Exif-Hack" für die Ponygallery") oder auf der Zoomgallery basierende Komponenten wie z.B. die Ice-Gallery.

Anmerkung: Die Ponygallery ML bietet den genannten Exif-Hack in ihrer offiziellen Version n i c h t an, er wurde also n i c h t von den Core-Mitgliedern angeboten oder eingebaut. Daher ist die Ponygallery ML von diesem Fehler nur betroffen, wenn ihr den Exif-Hack nachträglich installiert habt!

ciao b2m
Der Administrator hat öffentliche Schreibrechte deaktiviert.

Re: Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5 6 Jahre 1 Monat her #5903

  • Octane
  • Octanes Avatar
  • OFFLINE
  • Experte
  • Beiträge: 1740
...und weg war sie von der Demoseite... Werds wohl fixen und einen dicken Hinweis platzieren. Allerdings frühestens heute Abend.
Der Administrator hat öffentliche Schreibrechte deaktiviert.

Re: Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5 6 Jahre 1 Monat her #5925

  • Octane
  • Octanes Avatar
  • OFFLINE
  • Experte
  • Beiträge: 1740
So also habe meine drei Zoomgalerien gefixt und auf der Demoseite einen Hinweis platziert. So werdens die Betroffenen hoffentlich lesen.
Der Administrator hat öffentliche Schreibrechte deaktiviert.

Re: Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5 6 Jahre 1 Monat her #6148

  • Octane
  • Octanes Avatar
  • OFFLINE
  • Experte
  • Beiträge: 1740
Wenn man diese Meldung liest bekommt man nicht das Gefühl, dass sich dort etwas zum Guten ändern wird. Ein Fix für die Sicherheitslücke gibts immer noch nicht.
Der Administrator hat öffentliche Schreibrechte deaktiviert.

Re: Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5 6 Jahre 1 Monat her #6153

  • Micha
  • Michas Avatar
  • OFFLINE
  • JD Team
  • Beiträge: 1348
  • Dank erhalten: 20
Diese Galerie war schon immer Buggy und wird es immer bleiben ;). Zumal belastet sie die Server um einiges mehr als andere wie zum Beispiel die PonyML.

Ich rate meinen Kunden sofern ich gefragt werde schon seit fast 2 Jahren von der Zoomgalerie ab!

Grüße
Micha
schwarzkünstler® Optimiertes Webhosting für Joomla!, Mambo, Drupal, Typo3, Redaxo. Kein Safe Mode, kein www-run Problem.
Der Administrator hat öffentliche Schreibrechte deaktiviert.

Re: Artikel: Schwere Sicherheitslücke in der Zoom Galerie 2.5 6 Jahre 3 Wochen her #6249

  • Wiesel
  • Wiesels Avatar
  • OFFLINE
  • JD Team
  • Beiträge: 1194
  • Dank erhalten: 18
Ich rate meinen Kunden sofern ich gefragt werde schon seit fast 2 Jahren von der Zoomgalerie ab!
Zu welcher ratest du dann?
Ich benutze die zoom, aber wenn die wirklich so voller Bugs ist/war, dann steig ich natürlich um.
Was ich gut fände, wenn man das copyright ausblenden kann. Ich setzte lieber die Links zu den "Herstellerseiten" unter "Links". Wo das copyright nicht entfernt werden darf, mach ich das natürlich nicht.

Danke Wiesel ;)
Der Administrator hat öffentliche Schreibrechte deaktiviert.
  • Seite:
  • 1
  • 2
Kunena Forum