Freitag, 21. Mai 2010
I feel Flattrd
Isotopp hat auf seinem Blog von flattr berichtet. Das war für mich der tipping point, um mich auch selbst ernsthaft mit flattr zu beschäftigen, das derzeit behypt wird.
Flattr ist eine Social-Micropayment-Service, auf dem man ein Budget verwalten kann, das anderen Leuten (und auch einem selbst) zu Gute kommen kann, die kostenlosen Content produzieren. Wie der Dienst schon selbst sagt, es ist etwas zum Liebe zurückzugeben. Solche hehren Weltverbesserungsziele unterstütze ich immer gerne.
Daher habe ich auch für Serendipity ein Flattr-Plugin gebastelt, dass nun auch hier zum Einsatz kommt. Wer es gerne benutzen will findet es beim üblichen Verdächtigen Spartacus. Man kann damit pro Eintrag bestimmen ob ein Eintrag geflattrt werden soll, mit welchen Attributen etc.
Mehr zu dem Plugin gibt es im s9y blog.
Flattr ist eine Social-Micropayment-Service, auf dem man ein Budget verwalten kann, das anderen Leuten (und auch einem selbst) zu Gute kommen kann, die kostenlosen Content produzieren. Wie der Dienst schon selbst sagt, es ist etwas zum Liebe zurückzugeben. Solche hehren Weltverbesserungsziele unterstütze ich immer gerne.
Daher habe ich auch für Serendipity ein Flattr-Plugin gebastelt, dass nun auch hier zum Einsatz kommt. Wer es gerne benutzen will findet es beim üblichen Verdächtigen Spartacus. Man kann damit pro Eintrag bestimmen ob ein Eintrag geflattrt werden soll, mit welchen Attributen etc.
Mehr zu dem Plugin gibt es im s9y blog.
Montag, 10. Mai 2010
Serendipity 1.5.3 - Sicherheitsfix
Stefan Esser, Rächer der Exploitierten, Injection-Schnüffler Extraordinaire und Fiebertraum aller Entwickler hat im Rahmen des diesjährigen Month of PHP Security mal wieder zugeschlagen, und unter anderem eine größere Sicherheitslücke in Xinha gefunden.
Xinha ist ein WYSIWYG-Editor, der angenehm komfortabel ist und dessen Vorgänger htmlarea seit Urzeiten in Serendipity integriert war. In Version 1.4 haben wir den Umzug auf Xinha gemacht, der mittlerweile einiges an neuen und coolen Features bietet. Viele davon nutzt Serendipity garnicht unbedingt, und das wurde uns jetzt zum Verhängnis.
Ein Sicherheitsleck in deren Plugin-API ermöglicht die Übermittlung von dynamischen Parametern zur Konfiguration des Xinha-Backends, das unter anderem das ImageManager und ExtendedFileManager-Plugin einsetzt. Diese PHP-Dateien sind auch leider extern aufrufbar, und ermöglichen den Upload von beliebigem PHP-Code.
Klingt ätzend, ist es auch. Serendipity's neue Version hat diese Funktionalität nun kurzerhand deaktiviert, und alle Serendipity-Nutzer sind aufgefordert entweder auf 1.5.3 zu aktualisieren oder kurzerhand die Datei htmlarea/contrib/php-xinha.php zu löschen. Wenn das Xinha-Team den Bug etwas genauer inspiziert und behoben hat, wird es sicher nochmal einen korrekteren Fix als unseren geben.
Bitte weitersagen, schnell fixen, und Stefan für das Finden danken. Nur durch derartigen, unermüdlichen Einsatz werden OpenSource-Systeme im täglichen Einsatz sicherer, und die Entwickler sensibler auf derartige Lücken hingewiesen. Auch wenn solche Lücken kurzfristig immer weh tun, derartige Full Disclosures sind unabdingbar. Danke, Stefan!
Xinha ist ein WYSIWYG-Editor, der angenehm komfortabel ist und dessen Vorgänger htmlarea seit Urzeiten in Serendipity integriert war. In Version 1.4 haben wir den Umzug auf Xinha gemacht, der mittlerweile einiges an neuen und coolen Features bietet. Viele davon nutzt Serendipity garnicht unbedingt, und das wurde uns jetzt zum Verhängnis.
Ein Sicherheitsleck in deren Plugin-API ermöglicht die Übermittlung von dynamischen Parametern zur Konfiguration des Xinha-Backends, das unter anderem das ImageManager und ExtendedFileManager-Plugin einsetzt. Diese PHP-Dateien sind auch leider extern aufrufbar, und ermöglichen den Upload von beliebigem PHP-Code.
Klingt ätzend, ist es auch. Serendipity's neue Version hat diese Funktionalität nun kurzerhand deaktiviert, und alle Serendipity-Nutzer sind aufgefordert entweder auf 1.5.3 zu aktualisieren oder kurzerhand die Datei htmlarea/contrib/php-xinha.php zu löschen. Wenn das Xinha-Team den Bug etwas genauer inspiziert und behoben hat, wird es sicher nochmal einen korrekteren Fix als unseren geben.
Bitte weitersagen, schnell fixen, und Stefan für das Finden danken. Nur durch derartigen, unermüdlichen Einsatz werden OpenSource-Systeme im täglichen Einsatz sicherer, und die Entwickler sensibler auf derartige Lücken hingewiesen. Auch wenn solche Lücken kurzfristig immer weh tun, derartige Full Disclosures sind unabdingbar. Danke, Stefan!
