Sicherheitskritischer Bug in LiquidFeedback gefunden
Im LiquidFeedback Frontend wurde ein sicherheitskritischer Bug entdeckt, der es ermöglichte, fremde Benutzerkonten mittels unbefugter Passwortänderung zu übernehmen. Die Sicherheitslücke wurde mit Version beta32 behoben.
Wir empfehlen alle LiquidFeedback-Instanzen schnellstmöglich auf die letzte Version zu aktualisieren und alle Teilnehmeraccounts zu überprüfen.
Ergänzung:
Der Download-Link auf oben verlinkter Seite zeigte fälschlicherweise bis um 12:00 MESZ noch auf die alte Version. Wir bitten diesen Fehler zu entschuldigen und ggf. erneut zu aktualisieren. Aufgrund eines weiteren Fehlers gibt die korrekte Version beta32 eine falsche Versionsinformation beta31 aus, so dass nicht schnell ersichtlich ist, ob der Bugfix tatsächlich eingespielt wurde. Dieses Problem wurde in der darauf folgenden Version beta33 behoben. Wir empfehlen daher ein Update auf beta33.
Ist das alles an Informationen? Jetzt wo der Bug gefixt ist könnte man ruhig etwas mehr ins Detail gehen. Ich bin sehr interessiert.
Gruß Bene
Der Bug wurde bereits am 17. Mai 2011 mit der Veröffentlichung der Frontend-Versionen beta32 und beta33 gefixt. Weitere Informationen hierzu fanden sich auf der offiziellen Projektseite des Frontends und wurden über die Announce-Mailingliste verbreitet (siehe Archiv).