Page 1 of 1
Security!!! Older releases of phpwcms <1.3 and Spaw
Posted: Sun 24. Feb 2008, 11:21
by Oliver Georgi
Just a warning again because I got a lot of emails related to this where older releases of phpwcms were hacked by using leaks in Spaw.
- Check that you have register_globals set off - check phpinfo() - link in admin section of phpwcms!!!
If register_globals is ON take the .htaccess file inside the attached zip archive and upload it to your web root.
If you still have an .htaccess file in use put in the following line:
If this is not wroking contact your server admin and tell him to disable this for you by default.
- Additional check if you have Spaw WYSIWYG editor in use - there was a very big security problem in phpwcms < 1.3.
Delete it if you can - placed in include/inc_ext/spaw* and use FCKeditor or use an updated release of Spaw or contact me for a fix.
Oliver
Re: Older releases of phpwcms <1.3
Posted: Wed 27. Feb 2008, 07:46
by rushclub
hallo oliver,
reicht es auch, wenn ich den spaw lösche?
wenn ich die .htaccess-datei auf den server packe bekomme ich nen internal server error.
rush
Re: Older releases of phpwcms <1.3
Posted: Wed 27. Feb 2008, 08:00
by Oliver Georgi
Yes, also possible to delete the spaw folder if not in use.
And if you got an error when opening your website using a .htaccess file please contact your server admin and ask for setting register_globals Off by default for your account. That's PHP's default since 5 (or so) years.
Oliver
Re: Older releases of phpwcms <1.3
Posted: Wed 27. Feb 2008, 10:51
by EFabian
Hallo,
wenn .htaccess nicht funktioniert (wie bei mir) kann man auch eine php.ini verwenden.
soweit ich weis, muss die php.ini in alle verzeichnisse kopiert werden wo ein php script ist - das root verzeichnis reicht nicht.
Gruß
Re: Older releases of phpwcms <1.3
Posted: Wed 27. Feb 2008, 12:09
by Oliver Georgi
EFabian wrote:Hallo,
wenn .htaccess nicht funktioniert (wie bei mir) kann man auch eine php.ini verwenden.
soweit ich weis, muss die php.ini in alle verzeichnisse kopiert werden wo ein php script ist - das root verzeichnis reicht nicht.
Gruß
Das unterstützt nicht unbedingt jeder Provider und ist auch nicht der Standard! Von daher ist davon abzuraten. Bitte immer an den jeweiligen Provider wenden.
Ich gebe hier nur die eher "allgemeinen" Hinweise. Also bitte keine providerspezifischen Lösungen anbieten!
Und wenn ich diesen Thread in English halte, dann bitte nicht deutsch hier hineinposten!
Oliver
Re: Older releases of phpwcms <1.3
Posted: Wed 27. Feb 2008, 13:51
by rushclub
oh sorry - thank you
rush