Papoo Sicherheitsmeldung - Mai 2009
Dank unserer regen Community, die uns immer wieder mit hervorragenden Tipps und Hinweisen versieht, können wir wieder einmal die Sicherheit des Systems verbessern. Wir konnten heute eine entsprechende Sicherheitsproblematik lösen und zeigen Ihnen hier die Lösung.
Hier geht es um eine XSS Problematik, trotz unserer starken Filter gibt es inzwischen Methoden die einige Filter unterlaufen können, daher haben wir einen speziellen Patch für die Templates bereitgestellt der das Problem löst.
Dieser Patch ist notwendig für alle Versionen bis einschließlich Version 3.7.3. die vor dem 14.05.2009 downgeloadet wurden.
Ältere Versionen vor 3.7.0 sollten den Patch testen, in der Regel sollte das problemlos funktionieren. Ein Update ist aber auf jeden Fall angeraten.
Patch Download
Laden Sie hier den Patch für die Templates herunter und spielen Sie die Dateien auf Ihren Webserver.
Template Patch 05-2009 (Diese Datei existiert leider nicht mehr.)
HowTo - wie benutzen
Sie sollten dabei darauf achten, dass Sie die Dateien auf dem Server auch wirklich überschreiben. Die Dateien gehöhren in das Template Verzeichnis, welches Sie benutzen. Wenn Sie also das Standard Template benutzen, dann kopieren Sie die Dateien und das Verzeichnis in das Verzeichnis /templates/standard auf Ihrem Webserver.
Wenn Sie nicht wissen welches Sie benutzen, dann gehen Sie in die Adminstration und schauen Sie unter Layout/Templates/Seiten Templates nach. Dort wo ein "ja" bei Standard steht, das ist ihr Template.
Für Templateprogrammierer
Wenn Sie Änderungen an den Templates durchgeführt haben, vergleichen Sie bitte wo welche Änderungen zu ergänzen sind.
Wir haben prophylaktisch bei allen value="{$xy}" Ausgaben ein |escape:"html" ergänzt: {$xy|escape:"html"}
Sie sollten diese Änderung so bald wie möglich vornehmen.
Fragen können Sie wie immer in unserem Support Forum stellen.
