Gestern wurde das Sicherheits- und Bugfixrelease 3.0.1 der Menalto Gallery veröffentlicht. Die Entwickler raten dazu, sobald wie möglich ein Update auf die aktuelle Version durchzuführen.

Gallery 3.0 (und Beta Versionen) haben eine Sicherheitslücke, bei der Benutzer mit Hochlade-Berechtigungen die Dateitypen-Beschränkungen umgehen können um auch unerlaubte Dateien hochzuladen. Diese Lücke betrifft nur Installationen, bei denen Hochlade-Berechtigungen an Personen vergeben wurden, denen man nicht voll vertraut. Wenn man nicht die ganze Gallery3 aktualisieren möchte, kann man die Sicherheitslücke schließen, in dem man das Modul /gallery/models/item.php durch die neue Version ersetzt.

Änderungen:

• Performance Verbesserungen beim REST Module
• Starke Performance Steigerung beim Foto taggen
• Verbesserte Systemerkennung um Probleme mit PHP-Konfigurationen zu erkennen
• Gallery3 überprüft ob neue Versionen zur Verfügung stehen

Weitere Änderungen sind hier nachzulesen.

Download Gallery 3.0.1

In einer gestrigen Presseinformation empfiehlt das BSI die vorübergehende Nutzung alternativer Browser. Eine Sicherheitslücke im Internet Explorer der Versionen 6,7 und 8, von Microsoft inzwischen offiziell bestätigt, ermöglicht über eine manipulierte Internetseite Schadcode auf einen Windows Rechner zu schleusen und zu starten. In der vergangenen Woche nutzen Angreifer diese, um einen Trojaner-Downloader auf die angegriffenen Rechner zu schleusen.

BSI (Deutsches Bundesamt für Sicherheit in der Informationstechnik): Presseinformation

Update: Mittlerweile ist der Exploid-Code schon in mehreren Mailinglisten aufgetaucht. Damit haben nun auch Script-Kiddies Zugang und werden sicher versuchen diesen Code gegen beliebige Opfer einzusetzen.