Schwachstelle in PostNuke < .760 !
Die Entwickler des Content-Management-Systems PostNuke haben eine Schwachstelle gemeldet, mit der Angreifer eigenen Code auf dem Server ausführen können. Ursache des Problems ist nach Angaben von Andreas Krapohl, Vorsitzender PostNuke e. V., die im CMS eingesetzte Bibliothek xml rpc eines anderen Herstellers. Betroffen ist die aktuelle Version von PostNuke 0.750 sowie der Release-Candidate 0.760. Ein Update ist noch nicht verfügbar. Die Entwickler empfehlen dringend, das xmlrpc-Modul im Administration-Module zu deaktivieren und zu entfernen und danach sowohl /xmlrpc.php als auch das /modules/xmlrpc Verzeichnis aus dem Filesystem zu löschen.
Dies betrifft alle zur Zeit verfügbaren PostNuke Versionen.
Schwachstelle in phpBB < 2.0.16 !
Die Entwickler der populären Forensoftware phpBB haben das Update 2.0.16 zur Verfügung gestellt, in der nach eigenen Angaben eine kritische Sicherheitslücke geschlossen ist. Worum es sich genau handelt und wie Angreifer sie ausnutzen können, ist in der Ankündigung nicht beschrieben. Offenbar steckt das Problem wieder einmal im Highlighting-Code von phpBB. Über eine ältere Schwachstelle in diesem Code befiel Ende 2004 der Wurm Santy zahlreiche Foren. Die Entwickler empfehlen dringend, das Update zu installieren. Neben der Sicherheitslücke sind auch einige weitere, aber nicht sicherheitsrelevante Fehler beseitigt. Wer nicht die komplette neue Version installieren kann oder möchte, kann die Lücke auch einfach durch Änderung einer Zeile in der Software beheben. Ein genaue Anleitung dazu ist in der Ankündigung zu finden.
Welche Version Sie installiert haben, sehen Sie, wenn Sie sich in den Adminbereich einloggen, im Footer jeder Seite.
Ankündigung:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=302011neue Version:
http://www.phpbb.de/download.php
Informationen
