Seite 1 von 1

Contenido 4.8.4 (RFI/XSS) Multiple Remote Vulnerabilities

Verfasst: Mo 16. Jun 2008, 17:56
von Thorsten G.
Hier,
Sehr geehrter Herr G.,

leider mussten wir feststellen, dass Ihr Script von Dritten missbraucht wurde um unerwünschte E-Mails über unsere Systeme abzusetzen.

Da wir als Webhoster jedoch Spam jeglicher Art ablehnen und dementsprechend auch nicht Ursprung von Spam sein möchten, mussten wir sofort reagieren und Ihr Script umbenennen:

/kunden/XXX/contenido/contenido/includes/include.newsletter_jobs_subnav.php
Dies haben wir in Ihrem Fall getan.

Ist Ihnen die oben genannte Datei unbekannt oder sollte diese Datei niemals für einen E-Mailversand gedacht gewesen sein, so könnte dies die Folge eines Angriffs auf Ihre Webseite sein.
kann mich mal jemand beruhigen und mir sagen, dass das alles nicht soschlimm ist? :-)

Und im Ernst: Wie ernst ist dieser Angriff und wie kann ich mich davor schützen? (htaccess ?)

link astalavista

Vielen Dank.
Thorsten

Verfasst: Mo 16. Jun 2008, 19:20
von stsofd
schau doch mal in diese Beiträge...
http://forum.contenido.org/viewtopic.php?t=20128

Du bist nicht (mehr) der Einzige mit diesem Problem...


Vielleicht kann ja ein Admin Deinen Beitrag in den obigen Trade verschieben???

Verfasst: Mo 16. Jun 2008, 19:22
von holger.librenz_4fb
Wir haben soeben die Version 4.8.5 herausgegeben, welche über die Seite http://www.contenido.org zum Download bereit steht. Wir empfehlen schnellst möglich das Update durchzuführen!


So long,
Holger

Verfasst: Di 17. Jun 2008, 22:08
von Supporter
holger.librenz_4fb hat geschrieben:Wir haben soeben die Version 4.8.5 herausgegeben...
Die 4.8.5 oder 4.8.6? Bin jetzt etwas verunsichert...

Aber schön dass es dann doch so schnell ging.

Verfasst: Di 17. Jun 2008, 22:10
von holger.librenz_4fb
Die 4.8.6 ist im 4.8er Zweig aktuell. Leider ist uns hier ein kleiner Fehler unterlaufen, der die Version noch als 4.8.5 outet, das ziehe ich jetzt nach udn stelle gleich eine "verbesserte" Version zur Verfügung.

Also bitte noch so 15 bis 30 Minuten gedulden.

So long,
Holger

Verfasst: Mi 18. Jun 2008, 06:33
von tinof
holger.librenz_4fb hat geschrieben: ... das ziehe ich jetzt nach udn stelle gleich eine "verbesserte" Version zur Verfügung. ...
... die nur die Versionsnummer korrigiert oder auch noch mehr ?

Oder, anders gesagt : Ich habe mir am 17.06.08 um 7:00 Uhr von www.contenido.org die aktuelle Version runtergeladen. Ist die soweit sicher (Die Versionsnummer ist mir erstmal egal) ?

Verfasst: Mi 18. Jun 2008, 07:07
von Dodger77
@tinof:

Da diese Meldung später gekommen ist als dein Download:

http://forum.contenido.org/viewtopic.php?t=21824

, wäre ein weitere Upgrade angebracht.

Verfasst: Mi 18. Jun 2008, 09:02
von rethus
Muss ich dafür jetzt das gesamte 4.8.6er Paket runterladen, es auf den Server spielen, und dann über setup auf upgraden gehen?

Wenn dem so ist... wurde schon mal darüber nachgedacht, ein Patchsystem in Contenido zu integrieren, um Minor-Updates und Bugfixes via einer einer Datei einzuspielen?

PS: Zudem wäre ich dafür, das es einen BUG-Fix-Newsletter gibt, der eingetragene auf den neusten Stand hält, ob kritische Sicherheitslücken aufgetaucht sind.

Verfasst: Do 19. Jun 2008, 09:50
von MoSaG
rethus hat geschrieben:PS: Zudem wäre ich dafür, das es einen BUG-Fix-Newsletter gibt, der eingetragene auf den neusten Stand hält, ob kritische Sicherheitslücken aufgetaucht sind.
Für den Bugfix-Newsletter wäre ich mittlerweile auch!

Verfasst: Fr 20. Jun 2008, 10:54
von OliverL
für Bugfix-NL wäre das vielleicht ein netter Post:
http://forum.contenido.org/viewtopic.php?t=21826