Wie wir soeben feststellen mussten, wird durch den Einsatz des Datenbanklayers (sql_layer.php) unseres CMS vkpMx/pragmaMx, in anderen phpNuke ähnlichen Systemen eine schwere Sicherheitslücke aufgetan.

In unserem Script ist es möglich sämtliche sql-Anweisungen, die zur Generierung der HTML-Ausgabe benötigt werden, zur Fehleranalyse direkt in der HTML-Ausgabe mit anzuzeigen.
Weiterhin ist es möglich, sämtliche sql-Fehlermeldungen auf Wunsch anzeigen zu lassen.
Dies wird durch zwei globale Variablen gesteuert, die im Konfigurationsmenü von vkpMx/pragmaMx, verändert werden können.

Diese Variablen sind nur in der Umgebung des vkpMx/pragmaMx definiert. Durch den in phpNuke-Systemen üblichen pauschalen Import der Requestvariablen, selbst bei der Einstellung register_globals=OFF, können diese Variablen direkt an das Script gesendet werden. Dies bewirkt, dass jeder Besucher durch simple Übergabe der entsprechenden Variablennamen in der URL sämtliche sql-Anweisungen und selbst provozierte sql-Fehlermeldungen anzeigen lassen kann.

Da in mehreren Online-Publikationen neuerdings immer wieder Vorwürfe gegen das PragmaMx-Team laut geworden sind, an dieser Stelle mal ein paar (er)klärende Zeilen.

Aus aktuellem Anlass möchten wir nochmals ausdrücklich darauf hinweisen, dass sämtliche Button,Grafiken, Themeelemente des angezeigten Themes und Logos auf pragmaMx.org / pragmamx.org die nicht ausdrücklich von uns zum Dowload angeboten werden, dem Copyright von pragmaMx.org unterliegen.

Für die meisten wird das selbstverständlich sein jedoch bestätigen uns Ausnahmen immer wieder die Regel. Somit mussten wir das Thema hier nochmal aufgreifen.
Wir hoffen dabei auf Ihr aller Verständniss und Einsicht.

Das gewählte Theme vom Monat April steht zum Download bereit.
Gleichzeitig haben wir die Theme-Umfrage für Monat Mai 2005 geschaltet.

Die Umfrage läuft wieder 2 Wochen. Wir hoffen natürlich auf rege Beteiligung.

Das eBoard hat sich in der Vergangenheit auf hunderten Internetseiten als kleines flottes Forum bewährt. Leider ist es in der Zwischenzeit sehr in die Jahre gekommen und die Entwicklung wurde eingestellt. Um die User nicht ganz im Regen stehen zu lassen, haben wir uns dazu entschlossen ein kleines Fixpack, welches die gröbsten Bugs beseitigt, zu veröffentlichen.

Das Fixpack ist keine Vollversion, sondern braucht ein bereits installiertes eBoard als Grundlage. Die alten Dateien werden einfach durch die neuen ersetzt, weitere Massnahmen sind nicht notwendig.

• Download Fixpack
• Download Vollversion (ohne Fixpack)

Die Coppermine Gallery wurde vom Coppermine Team aufgrund einer aufgetauchten Sicherheitslücke einem Update unterzogen. Ausser der Sicherheitslücke wurden noch kleinere Fehler ausgebessert, die seit dem Release von 1.3.2 aufgetaucht sind.

All diese Änderungen wurden jetzt auch in die pragmaMx Version der Coppermine eingearbeitet. Zudem gleich auch hier ein paar kleinere Fehler in der Portierung gefixt. Die angesprochene Sicherheitslücke der Coppermine-Standallone Version wirkt sich im vkpMx/pragmaMx übrigens nicht aus, die Angriffe werden vom Detection-System abgefangen.
Trotzdem empfehlen wir ein Update auf die neuste Version.

Die Coppermine Version 1.4 ist in der Entwicklung bereits sehr weit fortgeschritten. Das Coppermine Team arbeitet fiberhaft an einem baldigen Release. Die pragmaMx Portierung der 1.4 läuft parallel dazu mit und ist auf dem gleichen Stand wie die Standallone Version.