Sicherheitslücke in myGallery

Sicherheitslücke in myGallery

Berichten zu Folge ist eine Sicherheitslücke in myGallery aufgetaucht. Diese Lücke betrifft den myGallery-Browser in allen Versionen. Ab sofort ist eine neue, entsprechend gepatched Version 1.4b5 verfügbar. Benutzern von myGallery empfehle ich, dringend auf diese Version zu wechseln oder den myGallery-Browser zu deaktivieren.

24 Replies to “Sicherheitslücke in myGallery”

  1. Hallo,
    ich habe die aktuelle Version heruntergeladen (1.4b5). Unter WP-Plugins wird allerdings noch 1.4b4 angezeigt. Ich arbeite mit WordPress 2.1.3 und bekomme bei Beitrag, bzw. Seite schreiben keinen myGallery Button (in vorherigen Versionen übrigens auch nicht mit WP 2.1.3). Gibt es hier unter Umständen Abhilfe, die ich nicht gefunden habe?

  2. @Thomas: Ja, herzlichen Dank – ich hatte dazu noch nichts im Blog geschrieben, weil ich mir derzeit zu myGallery eine Menge Gedanken mache. Der aktuelle Stand der Dinge: das Plugin und die Funktionen sind weit über das hinaus gewachsen, was anfänglich mal geplant war. Dadurch wird es sehr schwer, neue Funktionen hinzu zu fügen. Daher plane ich einen radikalen Schnitt mit einer Version 2.0. Diese wird kompatibel zu derzeitige Version sein, aber von Grund auf neu geschrieben werden. Der gesamte Kern wird Opbejktorientiert sein. Zudem soll myGallery nicht nur Bilder, sondern Medieninhalte verhalten können. Durch diverse Schnittstellen möchte ich gewählrleisten, dass myGallery mit WordPress reibungslos läuft, aber auch offen für andere Systeme ist. Auf soll die Verarbeitung der Bilder alternativ mit imagmagic möglich sein.

    Um der gesamten Diskussion um Lightbox, Thickbox, Thinbox Greybox ein Ende zu bereiten, wird es eine Schnitstelle für Effektplugins geben.

    Zum myGallery-Browser Button: Momentan ist fast unmöglich zu sagen, warum es bei manchen geht und bei anderen nicht. Eine zufriendenstellen Lösung habe ich noch nicht gefunden :-(

  3. Ok, alles aktualisiert (seit langem mal wieder…) und funzt, aber die Versionsnummer stimmt wirklich nicht. Kann ich davon ausgehen, dass es trotzdem die aktuelle Version ist?

    Sonnige Grüße
    Ilona

  4. @Ben-Inside: Im Prinzip müsste es reichen, wenn du die Datei mygallerybrowser.php austauscht.

    @Rest: Die Versionsnummer ist falsch, aber die Version laut changelog.txt auf dem richtigen Stand. Ich werde bei den nächsten Änderungen das entsprechend anpassen. Das Button-Problem liegt auch noch auf meinem Tisch – mal sehen, wie ich das löse.

  5. Hallo,
    Habe versucht nur die Datei mygallerybrowser.php auszutauschen, aber dann bleibt die MyGalleyrBrowser Seite bei mir einfach weiss. Hast du sonst noch wo was geändert? Habe eben in der einen oder anderen Datei kleinere Änderungen gemacht und möchte deshalb nicht alles neu drüber laden, wenns nicht unbedingt sein muss.
    Danke für deine tolle Arbeit und der Ausblick auf myGallery 2.0 klingt ja super…

  6. Zum Buttonproblem:
    Einfach auf WordPress 2.3 warten (vielleicht klappts auch schon bei WordPress 2.2).
    Ich selbst habe mal zum Spaß die Alpha Version des 2.3 trunks installiert und alle Buttons werden da korrekt angezeigt.

  7. Ist schon nervig, denn alle Tags für das Einbinden von Bildern habe ich auch nicht immer im Kopf und wenn man dann auch noch jedes mal erst aus dem Editor heraus muss, um nach der iD zu gucken … und nein, den WYSIWYG-Editor (damit funktioniert der Button hier) tu ich mir nicht an. ;)

  8. myGallery und das leidlich Button-Problem: Für mich sieht das, nach einigen Testläufen, so aus, als ob das Problem wie von Kretzschmar beschrieben, tatsächlich eher an WordPress als an myGallery liegt. Interessanterweise tauchen die Buttons in einigen Konstellationen auf, in anderen nicht – trotz gleicher Parameter. Stellt sich die Frage, ob es sinnvoll wäre, eine Zwischenlösung bis zur nächsten WP-Version ins Auge zu fassen. Die würde daraus bestehen, einen simplen Link zum myGallery-Browser mit in die Oberfläche zu integrieren.

    @sibylle: Mhm, du kannst auch in der Datei mygallerybrowser.php die Änderungen selber vornehmen. Vergleich einfach mal die Pfadangaben der beiden include Befehle in deiner alten und in der aktuellen Version.

  9. danke für deine schnelle antwort. es funktioniert nun. das problem ist folgendes:
    if ( !current_user_can(‚use myGallery‘) )
    {
    return;
    }
    das scheint bei mir nicht zu funktionieren. wenn ich das alte behalte:
    get_currentuserinfo();
    if ($user_level

  10. Hoppla – bei mir wurde Deine Lücke leider schon erfolgreich missbraucht! Sehr ärgerlich zumal mir der Angreifer auch gleich 6GB Datenmüll rübergeschaufelt hat. Ich habe glücklicherweise relativ schnell gemerkt, dass irgendwo enorm Traffic verursacht wurde.

    Na ja das ist eben die Schattenseiten von Open Source und Kostenlos :-)

    So lange nicht gleich der ganze Server hopps geht ist so ein Schaden ja noch im Rahmen.

    Trotzdem ist und bleibt MyGallery ein netten Plugin und darf daher auch weiterhin auf meinem Server seinen Dienst tun.

  11. @ChrizDee: Das passiert nicht nur bei OpenSource – in Redmond lässt man sich sogar dafür bezahlen, dass andere Leute ein unsicheres OS auf ihre Computer installieren.

    Aber Spaß beiseite: Es ist einfach nahezu unmöglich, eine 100% fehlerfreie, stabil laufende und absolute sichere Software zu schreiben. Ich bemühe mich ernsthaft, myGallery so sicher wie möglich zu machen. Auf Hinweise was solche Lücken angeht, reagiere ich in der Regel sehr kurzfristig.

  12. @tboley: Na mit Redmond haste allerdings recht :-)

    Der Bugfix war ja auch von Dir wirklich sehr schnell gemacht und das erlebt man bei anderen Programmieren auch nicht immer. Ich hoffe jetzt halt mal, dass ich die Gefahr auf meinem Server unter Kontrolle gebracht hab und vorerst mal Ruhe herrscht.

    Werde heute Abend bei einem Bierchen den ersten Schock verarbeiten – Alles wird gut!

  13. Nach dem Update läuft diverses nicht mehr bei mir. Mal eben ein Bild hochladen zum Beitrag z.B. Noch gravierender ist mir aber jetzt aufgefallen (wo ich es mal brauchte), dass ich verzweifle bei der Präsentation eines Albums. Null Chance, die Blätterfunktion zu nutzen.

    Ich blicke da langsam auch nicht mehr durch, wenn ich ehrlich bin, zumal sich MyGallery wohl irgendwie mit MyFlash zu beißen scheint. Und auch mit der Doku komme ich nicht weiter (da sind Erläuterungen drinne, die sich im Plugin dann an sich gar nicht mehr wiederfinden ;-) ).

    Nun brauche ich eigentlich auch nicht ständig Bildergalerien und somit fehlt mir auch die entsprechende Erfahrung (vielleicht irgendwo einen Haken nicht gemacht oder so, keine Ahnung). Ärgerlich ist es aber schon irgendwie, dass es nicht hinhaut, jetzt, wo ich es ausnahmsweise mal benötigen würde :-(. Zumal es mal klappte und dann wieder mal nicht… Ratlos ist man dann irgendwann mal und verliert die Lust.

  14. @Nobbi: Das sich myGallery mit MyFlash zu beißen scheint, kann gut sein. Ich möchte das aber an dieser Stelle nicht näher erläutern. Im Zusammenspiel myGallery und WP 2.2 hat sich einiges verändert – es gab ein paar WP-Bugs, die jetzt behoben sind. Ich werde die Blätterfunktion mal in der Konstellation austesten.

    @sibylle: Welche Benutzerrollen sind denn vorhanden?

  15. Keine Hektik, Thomas, zumal ich ja wusste, dass Du und der CHEF geurlaubt habt, was ich Euch natürlich auch gegönnt habe :-).

    Auf 2.2 bin ich übrigens noch lange nicht… Da muss ich erstmal mit dem HuPmV (Hoster und Provider meines Vertrauens) quatschen *g*. Aber das hat bislang aus verschiedenen Gründen noch nicht geklappt.

Kommentar verfassen

über Thomas Boley

Geboren wurde ich im Jahre des Herren 1971 in Wesel am Niederrhein – die Kommentare an dieser Stelle bezüglich des Bürgermeisters bitte verkneifen! Mein Verhältnis zu dieser Stadt würde wohl den Umfang dieser Seite sprengen. Nur soviel sei gesagt: Es ist durchaus durchwachsen, worin es sich aber nicht von meinem Verhältnis zu Bielefeld unterscheidet. Nach dem üblichen Werdegang (Kindergarten, Schule, Abitur, Zivildienst) und den üblichen jugendlichen Irrungen und Wirrungen verschlug es mich zum Studium nach Bielefeld verschlagen. 18 Jahre später ging es dann zurück an den Rhein, in die Domstadt Köln. mehr erfahren