Artikel Übersicht
Sicherheitslöcher in nukeCalendar 1.1.x und sonstigen Kalendern
Es wurden in den älteren Kalenderversionen mehrere Sicherheitslöcher entdeckt und auf den einschlägigen security-Seiten veröffentlicht. Angesprochen wurde dort nur die Version 1.1.a meines nukeCalendar. Leider muss ich die dort aufgeführten Probleme teilweise bestätigen.
1.: "Full path disclosure"
stimmt teilweise, das Problem besteht in den scripten. Das Problem in den Blöcken besteht allerdings nicht in den Blöcken des nukeCalendar 1.1. Hier sind Blöcke angesprochen, die nie in einem Paket von mir dabei waren.
2.: "Cross-Site Scripting aka XSS"
stimmt, das Problem besteht
3.: "Sql injection"
stimmt, das Problem besteht
Da auf den Securityseiten gleich die passenden Hackerbeispiele mitgeliefert wurden, ist in Zukunft mit gehäuften Hackversuchen zu rechnen.
Da viele Eventkalender für phpNuke die gleiche Basis haben, nämlich den eventCalendar 2.0 von Rob Sutton, ist anzunehmen, dass auch diese Module betroffen sind.
Aufgrund dieser Probleme empfehle ich dringenst ein Update auf die Version KalenderMx 1.4. Die Sicherheitslöcher wurden bereits mit der Version 1.2(vkpMx) & 1.3 behoben.
KalenderMx 1.4 ist erschienen
Die neue Version des Kalenders ist erschienen.Was ist neu:
- Suchfunktion
- Anzeige, ob Termine vorhanden, auch in Jahresansicht
- Fehler im 12 Stunden-Zeitformat (AM/PM) gefixt
- fehlerhafte Adminerkennung auf manchen nuke-Systemen gefixt
- fehlender Printbutton bei manchen Serverkonfigurationen gefixt
- komplette Überarbeitung der HTML-Ausgabe auf HTML4.01
- Administrationsmenü optisch überarbeitet
- zusätzl. Optionen im Adminmenü
- weitere kleine Optimierungen
- zusätzl. Sprachdateien (turkish, brazilian, portugues, dutch, norwegian, italian, bozanski, spanish, polish)
105 Artikel (53 Seiten, 2 Artikel pro Seite)
Sprachen
Sprache für das Interface auswählen
