Textpattern 4.0.5 released

admin — Mon, 02 Jul 2007 05:31:19 +0000

Nach mittlerweile recht langer Zeit gibt es eine neue Version der Weblogsoftware Textpattern. Die Version 4.0.5 ist ein Sicherheitsrelease, da eine XSS-SicherheitslÃ¼cke in der Kommentar-Vorschau geschlossen wurde. Es sei also allen Nutzern angeraten, die neue Version zu installieren.

Since the authentification cookie is restricted to the admin-directory and not accessible from the front-end, in most cases this means âonlyâ? the info from the comment-data-cookie might be leaked. Users that run textpattern together with other software or third party plugins that set cookies might be at risk of having other data leaked, when a user can be tricked into following certain links.

GegenÃ¼ber der Vorversion sind zahlreiche Ãnderungen und Verbesserungen in die neue Version mit eingeflossen:

Fixed security issue on public-side (XSS) (thanks zarathu)

Fixed path disclosure issue (thanks zarathu)

Search for posted and last modifed dates in article list

New tag: as a container for comments and other internal content

Changed tags: , , and support âsortâ attribute

Distribute jQuery 1.1.2 as a default JavaScript library

Keep image properties on replacement

Add âdelete thumbnailâ function

Support back end branding: customizable logo and color bar

Table sort indicators

Textile improvements

Fix non-utf8 mails (iso 8859-1)

better wrapping in admin-interface to prevent horizontal scrollbar

Add comment status to comment notification mails

Fix âinfiniteâ? pagination in rare edge cases

Work around apache bug for file-downloads (in connection with mod_deflate)

Fix error messages on wrong logins for older mysql versions

Fix comment spam blacklist false positives

Fix file_download-tag from showing the same url for different downloads

Fix disappearing comment preferences in certain circumstances

Fix âactive classâ? in section_list, category_list

Better cooperation with some proxies (and other HTTP/1.0 clients)

Smarter comment submit button emphasises preview step

Optionally hide spam comments in back end list

Truncate longish article category titles in the write screen

Handle thumbnailing of larger images

Better MoveableType import

Fix some more IIS issues

New callback event: âtextpattern_endâ

New callback event: âpingâ

New tag:

Changed tag: loses default title attribute

Changed tag: returns filename as an additional URL part

Many, many minor improvements, see svn-logs

Download der aktuellen Version im Versionsarchiv.

XSS Sicherheitslücke in einigen WordPress Themes

admin — Tue, 08 May 2007 06:08:26 +0000

Wie Heise.de berichtet besteht in einigen WordPress Themes eine Sicherheitslücke. Betroffen ist die aktuelle WordPress Version 2.1.3 und die Themes: K2, Classic und Hiperminimalist.

Heise liefert dazu auch einen einfachen Test, ob die eigene Theme betroffen ist und wie man die Sicherheitslücke schließen kann.

Ob ein Blog mit seinem Theme verwundbar ist, lässt sich etwa durch Aufruf von http:///index.php/index.php/"> feststellen. Öffnet sich ein Alert-Fenster, ist das Theme fehlerhaft. Offizielle Updates für die Themes gibt es bislang noch nicht. Ein vorläufiger Workaround besteht jedoch darin, im Verzeichnis des verwendeten Themes – in der Regel wp-content/themes// – in den Dateien searchform.php und sidebar.php nach dem Ausdruck

action=""

zu suchen und ihn durch

action=""

zu ersetzen. Dies rüstet für die Ausgabe die zusätzliche Filterfunktion htmlspecialchars() nach und verhindert die Ausnutzung der Schwachstelle.

Bloganbieter » XSS

Textpattern 4.0.5 released

XSS Sicherheitslücke in einigen WordPress Themes