Sicherheitslücke in myGallery
von tboley um 15:00 Uhr
Berichten zu Folge ist eine Sicherheitslücke in myGallery aufgetaucht. Diese Lücke betrifft den myGallery-Browser in allen Versionen. Ab sofort ist eine neue, entsprechend gepatched Version 1.4b5 verfügbar. Benutzern von myGallery empfehle ich, dringend auf diese Version zu wechseln oder den myGallery-Browser zu deaktivieren.
24 Reaktionen zu „Sicherheitslücke in myGallery”
Trackbacks und Pings
Kommentare
-
am 29. April 2007 um 16:03
sagte tOm:1#Hallo,
ich habe die aktuelle Version heruntergeladen (1.4b5). Unter WP-Plugins wird allerdings noch 1.4b4 angezeigt. Ich arbeite mit WordPress 2.1.3 und bekomme bei Beitrag, bzw. Seite schreiben keinen myGallery Button (in vorherigen Versionen übrigens auch nicht mit WP 2.1.3). Gibt es hier unter Umständen Abhilfe, die ich nicht gefunden habe? -
am 29. April 2007 um 19:10
sagte Thomas Greve:2#Hallo Thomas,
hast Du Dein Amazazon-Wunschlist-Buch erhalten? Ansonsten muss ich leider tOm zustimmen. Das habtte ich auch bemerkt.
Herzliche Grüße
Thomas
-
am 29. April 2007 um 20:05
sagte tboley:3#@Thomas: Ja, herzlichen Dank – ich hatte dazu noch nichts im Blog geschrieben, weil ich mir derzeit zu myGallery eine Menge Gedanken mache. Der aktuelle Stand der Dinge: das Plugin und die Funktionen sind weit über das hinaus gewachsen, was anfänglich mal geplant war. Dadurch wird es sehr schwer, neue Funktionen hinzu zu fügen. Daher plane ich einen radikalen Schnitt mit einer Version 2.0. Diese wird kompatibel zu derzeitige Version sein, aber von Grund auf neu geschrieben werden. Der gesamte Kern wird Opbejktorientiert sein. Zudem soll myGallery nicht nur Bilder, sondern Medieninhalte verhalten können. Durch diverse Schnittstellen möchte ich gewählrleisten, dass myGallery mit WordPress reibungslos läuft, aber auch offen für andere Systeme ist. Auf soll die Verarbeitung der Bilder alternativ mit imagmagic möglich sein.
Um der gesamten Diskussion um Lightbox, Thickbox, Thinbox Greybox ein Ende zu bereiten, wird es eine Schnitstelle für Effektplugins geben.
Zum myGallery-Browser Button: Momentan ist fast unmöglich zu sagen, warum es bei manchen geht und bei anderen nicht. Eine zufriendenstellen Lösung habe ich noch nicht gefunden :-(
-
sagte Thomas Greve:4#Hallo Thomas,
DANKEschön für Deine schnelle Antwort und dem Ausblick in die Zukunft von myGallery. Ich wünsche da nur ein Gutes Gelingen!!!
-
am 1. Mai 2007 um 8:44
sagte Ben-Inside:6#Muss ich alle Dateien uploaden oder brauche ich auch nur gewisse Dateien neu aufspielen? Habe noch myGallery 1.2
-
sagte tboley:7#@Ben-Inside: Im Prinzip müsste es reichen, wenn du die Datei mygallerybrowser.php austauscht.
@Rest: Die Versionsnummer ist falsch, aber die Version laut changelog.txt auf dem richtigen Stand. Ich werde bei den nächsten Änderungen das entsprechend anpassen. Das Button-Problem liegt auch noch auf meinem Tisch – mal sehen, wie ich das löse.
-
am 1. Mai 2007 um 13:57
sagte sibylle:9#Hallo,
Habe versucht nur die Datei mygallerybrowser.php auszutauschen, aber dann bleibt die MyGalleyrBrowser Seite bei mir einfach weiss. Hast du sonst noch wo was geändert? Habe eben in der einen oder anderen Datei kleinere Änderungen gemacht und möchte deshalb nicht alles neu drüber laden, wenns nicht unbedingt sein muss.
Danke für deine tolle Arbeit und der Ausblick auf myGallery 2.0 klingt ja super… -
am 2. Mai 2007 um 21:31
sagte Kretzschmar:10#Zum Buttonproblem:
Einfach auf WordPress 2.3 warten (vielleicht klappts auch schon bei WordPress 2.2).
Ich selbst habe mal zum Spaß die Alpha Version des 2.3 trunks installiert und alle Buttons werden da korrekt angezeigt. -
am 3. Mai 2007 um 8:32
sagte iKA:11#Ist schon nervig, denn alle Tags für das Einbinden von Bildern habe ich auch nicht immer im Kopf und wenn man dann auch noch jedes mal erst aus dem Editor heraus muss, um nach der iD zu gucken … und nein, den WYSIWYG-Editor (damit funktioniert der Button hier) tu ich mir nicht an. ;)
-
sagte tboley:12#myGallery und das leidlich Button-Problem: Für mich sieht das, nach einigen Testläufen, so aus, als ob das Problem wie von Kretzschmar beschrieben, tatsächlich eher an WordPress als an myGallery liegt. Interessanterweise tauchen die Buttons in einigen Konstellationen auf, in anderen nicht – trotz gleicher Parameter. Stellt sich die Frage, ob es sinnvoll wäre, eine Zwischenlösung bis zur nächsten WP-Version ins Auge zu fassen. Die würde daraus bestehen, einen simplen Link zum myGallery-Browser mit in die Oberfläche zu integrieren.
@sibylle: Mhm, du kannst auch in der Datei mygallerybrowser.php die Änderungen selber vornehmen. Vergleich einfach mal die Pfadangaben der beiden include Befehle in deiner alten und in der aktuellen Version.
-
am 9. Mai 2007 um 13:56
sagte ChrizDee:14#Hoppla – bei mir wurde Deine Lücke leider schon erfolgreich missbraucht! Sehr ärgerlich zumal mir der Angreifer auch gleich 6GB Datenmüll rübergeschaufelt hat. Ich habe glücklicherweise relativ schnell gemerkt, dass irgendwo enorm Traffic verursacht wurde.
Na ja das ist eben die Schattenseiten von Open Source und Kostenlos :-)
So lange nicht gleich der ganze Server hopps geht ist so ein Schaden ja noch im Rahmen.
Trotzdem ist und bleibt MyGallery ein netten Plugin und darf daher auch weiterhin auf meinem Server seinen Dienst tun.
-
sagte tboley:15#@ChrizDee: Das passiert nicht nur bei OpenSource – in Redmond lässt man sich sogar dafür bezahlen, dass andere Leute ein unsicheres OS auf ihre Computer installieren.
Aber Spaß beiseite: Es ist einfach nahezu unmöglich, eine 100% fehlerfreie, stabil laufende und absolute sichere Software zu schreiben. Ich bemühe mich ernsthaft, myGallery so sicher wie möglich zu machen. Auf Hinweise was solche Lücken angeht, reagiere ich in der Regel sehr kurzfristig.
-
sagte ChrizDee:16#@tboley: Na mit Redmond haste allerdings recht :-)
Der Bugfix war ja auch von Dir wirklich sehr schnell gemacht und das erlebt man bei anderen Programmieren auch nicht immer. Ich hoffe jetzt halt mal, dass ich die Gefahr auf meinem Server unter Kontrolle gebracht hab und vorerst mal Ruhe herrscht.
Werde heute Abend bei einem Bierchen den ersten Schock verarbeiten – Alles wird gut!
-
am 14. Mai 2007 um 19:27
sagte Nobbi:17#Nach dem Update läuft diverses nicht mehr bei mir. Mal eben ein Bild hochladen zum Beitrag z.B. Noch gravierender ist mir aber jetzt aufgefallen (wo ich es mal brauchte), dass ich verzweifle bei der Präsentation eines Albums. Null Chance, die Blätterfunktion zu nutzen.
Ich blicke da langsam auch nicht mehr durch, wenn ich ehrlich bin, zumal sich MyGallery wohl irgendwie mit MyFlash zu beißen scheint. Und auch mit der Doku komme ich nicht weiter (da sind Erläuterungen drinne, die sich im Plugin dann an sich gar nicht mehr wiederfinden ;-) ).
Nun brauche ich eigentlich auch nicht ständig Bildergalerien und somit fehlt mir auch die entsprechende Erfahrung (vielleicht irgendwo einen Haken nicht gemacht oder so, keine Ahnung). Ärgerlich ist es aber schon irgendwie, dass es nicht hinhaut, jetzt, wo ich es ausnahmsweise mal benötigen würde :-(. Zumal es mal klappte und dann wieder mal nicht… Ratlos ist man dann irgendwann mal und verliert die Lust.
-
sagte tboley:18#@Nobbi: Das sich myGallery mit MyFlash zu beißen scheint, kann gut sein. Ich möchte das aber an dieser Stelle nicht näher erläutern. Im Zusammenspiel myGallery und WP 2.2 hat sich einiges verändert – es gab ein paar WP-Bugs, die jetzt behoben sind. Ich werde die Blätterfunktion mal in der Konstellation austesten.
@sibylle: Welche Benutzerrollen sind denn vorhanden?
-
sagte Nobbi:19#Keine Hektik, Thomas, zumal ich ja wusste, dass Du und der CHEF geurlaubt habt, was ich Euch natürlich auch gegönnt habe :-).
Auf 2.2 bin ich übrigens noch lange nicht… Da muss ich erstmal mit dem HuPmV (Hoster und Provider meines Vertrauens) quatschen *g*. Aber das hat bislang aus verschiedenen Gründen noch nicht geklappt.
antworten
in iKA’s Blog » myGallery Sicherheitsupdate auf 1.4b5:
[...] Laut einer Meldung sollen alle myGallery Versionen eine Sicherheitslücke aufweisen. Der Autor, Thomas Boley, hat daher umgehend eine neue Version veröffentlicht, bietet alle älteren nicht mehr an und rät in seinem Blog dazu umgehend auf diese neue umzusteigen! [...]
in Volkers Blog » Blog Archiv » Ein Jubiläum, das doch irgendwie ärgert:
[...] Außerdem habe ich heute festgestellt, dass das myGallery WordPress-Plugin eine Sicherheitslücke hat. Update ist eingespielt, Details folgen. Tag: WordPress [...]
in USmith Blog » Blog Archiv » Wordpress-Update auf 2.2.1:
[...] Bei der Gelegenheit habe ich auch mal wieder nach neueren Plugins gesehen. MyGallery hatte ich ja wegen des Button-Problemes immer noch in der Version 1.4b2, inzwischen ist die Version 1.4b10 am Start. Leider war aber der Button wieder nicht da, erst wenn man diesen WYSIWYG-Editor benutzt, hat man auch einen Button. Linux Uwe WordPress [...]
in FINBLOG.de - Aktuelle Notizen des Finanzjournalisten Andreas Kunze » Schon wieder - aber nun schöner:
[...] PS: Die Sicherheitslücke bei dem Galerie-Plugin ist schon seit ein paar Monaten bekannt und behoben. Ich denke, ich werde es noch mal damit versuchen. [...]
in Blog wird international! » BODY-SNATCHER’s Blog:
[...] Desweiteren gab es heute auch wieder ein Pluginupdate. Diesmal ging das myGallery Plugin in eine neue Runde. Die aktuelle Version 1.4b7 empfehle ich nun jedem da wichtige Sicherheitslücken aber auch kleine Bugs behoben wurden. [...]