Vor zwei Tagen hat das Sicherheitsteam (security@tikiwiki.org) einen Hinweis auf eine bis dato (noch) unbekannte Sicherheitslücke erhalten, die alle Tiki-Versionen betrifft.
Wir haben im stillen Kämmerlein gefixt, gepatcht und getestet und nun das Release 1.9.8.2 veröffentlicht. Üblicherweise tun wir das zwar nicht, aber nun haben wir auch zwei Patch-Dateien bereitgestellt, mit der die Versionen 1.9.8.1 und 1.9.8 direkt aktualisiert werden können (ohne das große Archiv installieren zu müssen). Die Version 1.9.7 wird vom Hosting-Installer Fantastico momentan noch bereitgestellt und bei Ubuntu mitgeliefert (seit der Version feisty), daher haben wir diese Version mit eingeschlossen.
Wir raten dringend dazu, die Aktualisierung vorzunehmen:
Tiki 1.10 wurde aktualisiert und kann per cvs up auf den neuesten Stand gebracht werden.
Vielen Dank an L4teral, der uns diesen Bug detailiert gemeldet hat und auch einen Blick auf den Fix geworfen hat. Eine Veröffentlichung auf Bugtraq wird folgen, spätestens dann wird der Bug ausgenutzt werden, daher zügig aktualisieren!
Gruß,
Oliver, for the Tikiwiki Security Group
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}
;){kind=link}