Security!!! Older releases of phpwcms <1.3 and Spaw

check this often to be informed about any security problem that was reported.
Post Reply
User avatar
Oliver Georgi
Site Admin
Posts: 9554
Joined: Fri 3. Oct 2003, 22:22
Location: Moscow, Russia
Contact:

Security!!! Older releases of phpwcms <1.3 and Spaw

Post by Oliver Georgi » Sun 24. Feb 2008, 11:21

Just a warning again because I got a lot of emails related to this where older releases of phpwcms were hacked by using leaks in Spaw.
  • Check that you have register_globals set off - check phpinfo() - link in admin section of phpwcms!!!
    If register_globals is ON take the .htaccess file inside the attached zip archive and upload it to your web root.
    If you still have an .htaccess file in use put in the following line:

    Code: Select all

    php_flag register_globals Off
    If this is not wroking contact your server admin and tell him to disable this for you by default.
  • Additional check if you have Spaw WYSIWYG editor in use - there was a very big security problem in phpwcms < 1.3.
    Delete it if you can - placed in include/inc_ext/spaw* and use FCKeditor or use an updated release of Spaw or contact me for a fix.
Oliver
Attachments
spaw1.zip
fixed release of spaw editor for phpwcms <= 1.1-RC4 08-06-2004
(295.89 KiB) Downloaded 366 times
htaccess.zip
.htaccess file for your web root to set register_global OFF
(243 Bytes) Downloaded 376 times
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон

rushclub
Posts: 915
Joined: Tue 17. Feb 2004, 18:52

Re: Older releases of phpwcms <1.3

Post by rushclub » Wed 27. Feb 2008, 07:46

hallo oliver,

reicht es auch, wenn ich den spaw lösche?
wenn ich die .htaccess-datei auf den server packe bekomme ich nen internal server error.

rush
3 (!) Jahre warten reichen mir. Ich bin erst mal weg.

User avatar
Oliver Georgi
Site Admin
Posts: 9554
Joined: Fri 3. Oct 2003, 22:22
Location: Moscow, Russia
Contact:

Re: Older releases of phpwcms <1.3

Post by Oliver Georgi » Wed 27. Feb 2008, 08:00

Yes, also possible to delete the spaw folder if not in use.

And if you got an error when opening your website using a .htaccess file please contact your server admin and ask for setting register_globals Off by default for your account. That's PHP's default since 5 (or so) years.

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон

EFabian
Posts: 79
Joined: Sun 26. Mar 2006, 12:57

Re: Older releases of phpwcms <1.3

Post by EFabian » Wed 27. Feb 2008, 10:51

Hallo,

wenn .htaccess nicht funktioniert (wie bei mir) kann man auch eine php.ini verwenden.

Code: Select all

register_globals = off
soweit ich weis, muss die php.ini in alle verzeichnisse kopiert werden wo ein php script ist - das root verzeichnis reicht nicht.

Gruß

User avatar
Oliver Georgi
Site Admin
Posts: 9554
Joined: Fri 3. Oct 2003, 22:22
Location: Moscow, Russia
Contact:

Re: Older releases of phpwcms <1.3

Post by Oliver Georgi » Wed 27. Feb 2008, 12:09

EFabian wrote:Hallo,

wenn .htaccess nicht funktioniert (wie bei mir) kann man auch eine php.ini verwenden.

Code: Select all

register_globals = off
soweit ich weis, muss die php.ini in alle verzeichnisse kopiert werden wo ein php script ist - das root verzeichnis reicht nicht.

Gruß
Das unterstützt nicht unbedingt jeder Provider und ist auch nicht der Standard! Von daher ist davon abzuraten. Bitte immer an den jeweiligen Provider wenden.

Ich gebe hier nur die eher "allgemeinen" Hinweise. Also bitte keine providerspezifischen Lösungen anbieten!

Und wenn ich diesen Thread in English halte, dann bitte nicht deutsch hier hineinposten!

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон

rushclub
Posts: 915
Joined: Tue 17. Feb 2004, 18:52

Re: Older releases of phpwcms <1.3

Post by rushclub » Wed 27. Feb 2008, 13:51

oh sorry - thank you ;)

rush
3 (!) Jahre warten reichen mir. Ich bin erst mal weg.

Post Reply