Leider haben wir jetzt kurz vor dem Release der 2.0 ein ziemlich großes Sicherheitsleck in der 1.4.8 gefunden.
Durch diese Lücke ist es möglich an die Zugangsdaten der Datenbankverbindung zu kommen. Betroffen sind alle Versionen bis einschließlich 1.4.8 .

Aus diesem Grund haben wir noch schnell eine neue Version 1.4.9 herausgebracht und empfehlen dringend auf diese Version upzudaten.

Falls ihr schon relativ viel an Admidio angepasst habt und nicht den Ordner adm_program ersetzen wollt, dann reicht es auch wenn ihr von der 1.4.9 nur die Datei adm_program/modules/download/get_file.php ersetzt.

Nach dem erfolgreichen Update solltet ihr sicherheitshalber das Passwort eurer Datenbank ändern.

Die kommende Version Admidio 2.0 ist davon nicht betroffen, da hier das Downloadmodul komplett überarbeitet wurde und anders arbeitet.

Hallo Fasse,

bin ich auch betroffen, wenn das Downloadmodul deaktiviert ist und schon immer war?
Und lautet der Pfad nicht /adm_program/modules/download/get_file.php?

Gruß

Olaf

Ist korrigiert. (War schon spät)

Wenn du das Downloadmodul deaktiviert hast, dann bist du davon nicht betroffen.

Dennoch ist ein Update ratsam, falls du diese Sperre mal rausnehmen solltest.

Ich bekomme neuerdings folgende Fehlermeldung bei der Benutzung des Geburtstags-PlugIn.
Warning: error_log() has been disabled for security reasons in ../admidio/adm_plugins/sidebar_birthday/sidebar_birthday.php on line 128
Wird dieses Problem auch mit dem neuen Update behoben ?

Nein, dieses Problem hat nichts mit dem Update zu tun.

Du kannst diese Zeile im Plugin auch einfach löschen. Es ist eigentlich eine Debug-Ausgabe, die wohl irgendwie drin geblieben ist.

sidebar_birthday.php aufrufen und dort dann die Zeile 128 mit dem error_log($sql) löschen.