Skip to content

FLOSS'n'net - Aktivitäten im 1. Quartal 2020

Das neue Jahr hat im Prinzip begonnen, wie das alte geendet hat: viel zu tun, wenig Zeit, insbesondere für “freie Software und das Netz”. Aber wie ich am Anfang des letzten Quartals etwas Zeit für Serendipity gefunden hatte, so ging es mir nun am Ende diesen Quartals, rund um das - ausgefallene bzw. virtualisierte - Serendipity-Camp: zwei Releases, etliche Bugfixes und auch ein paar Erweiterungen, und eine ganze Menge Änderungen an der Infrastruktur.

Serendipity (s9y)

Das Blogsystem Serendipity werkelt auch hinter diesem Blog.

s9y-Kern

  • In der Mediendatenbank fehlten einige Sicherheitsnetze rund um das Umbenennen von Dateien - so führte das “Umbenennen” einer Datei in eine bereits existente Datei dazu, dass beide Dateien verschwanden, aus der Datenbank und von der Platte. Unschön, aber jetzt behoben.
    Prevent renaming ML object into existing file.

  • Beim Umbenennen von Mediendateien ohne Endung gab es auch noch einige Probleme; zum einen “verschwanden” diese direkt nach dem Umbenennen aus der Datenbank, und - nur unter Windows - gab es zudem die Möglichkeit, einer solchen Datei eine “gefährliche” Endung wie .php zu verpassen und sie damit ausführbar zu machen.
    Fix for “disappearing” media files after renaming.
    Fix RCE vulnerability on Windows.

"FLOSS'n'net - Aktivitäten im 1. Quartal 2020" vollständig lesen