Security!!! Older releases of phpwcms <1.3 and Spaw

check this often to be informed about any security problem that was reported.
Post Reply
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Security!!! Older releases of phpwcms <1.3 and Spaw

Post by Oliver Georgi »

Just a warning again because I got a lot of emails related to this where older releases of phpwcms were hacked by using leaks in Spaw.
  • Check that you have register_globals set off - check phpinfo() - link in admin section of phpwcms!!!
    If register_globals is ON take the .htaccess file inside the attached zip archive and upload it to your web root.
    If you still have an .htaccess file in use put in the following line:

    Code: Select all

    php_flag register_globals Off
    If this is not wroking contact your server admin and tell him to disable this for you by default.
  • Additional check if you have Spaw WYSIWYG editor in use - there was a very big security problem in phpwcms < 1.3.
    Delete it if you can - placed in include/inc_ext/spaw* and use FCKeditor or use an updated release of Spaw or contact me for a fix.
Oliver
Attachments
spaw1.zip
fixed release of spaw editor for phpwcms <= 1.1-RC4 08-06-2004
(295.89 KiB) Downloaded 789 times
htaccess.zip
.htaccess file for your web root to set register_global OFF
(243 Bytes) Downloaded 922 times
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
rushclub
Posts: 915
Joined: Tue 17. Feb 2004, 18:52

Re: Older releases of phpwcms <1.3

Post by rushclub »

hallo oliver,

reicht es auch, wenn ich den spaw lösche?
wenn ich die .htaccess-datei auf den server packe bekomme ich nen internal server error.

rush
3 (!) Jahre warten reichen mir. Ich bin erst mal weg.
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Older releases of phpwcms <1.3

Post by Oliver Georgi »

Yes, also possible to delete the spaw folder if not in use.

And if you got an error when opening your website using a .htaccess file please contact your server admin and ask for setting register_globals Off by default for your account. That's PHP's default since 5 (or so) years.

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
EFabian
Posts: 79
Joined: Sun 26. Mar 2006, 12:57

Re: Older releases of phpwcms <1.3

Post by EFabian »

Hallo,

wenn .htaccess nicht funktioniert (wie bei mir) kann man auch eine php.ini verwenden.

Code: Select all

register_globals = off
soweit ich weis, muss die php.ini in alle verzeichnisse kopiert werden wo ein php script ist - das root verzeichnis reicht nicht.

Gruß
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Older releases of phpwcms <1.3

Post by Oliver Georgi »

EFabian wrote:Hallo,

wenn .htaccess nicht funktioniert (wie bei mir) kann man auch eine php.ini verwenden.

Code: Select all

register_globals = off
soweit ich weis, muss die php.ini in alle verzeichnisse kopiert werden wo ein php script ist - das root verzeichnis reicht nicht.

Gruß
Das unterstützt nicht unbedingt jeder Provider und ist auch nicht der Standard! Von daher ist davon abzuraten. Bitte immer an den jeweiligen Provider wenden.

Ich gebe hier nur die eher "allgemeinen" Hinweise. Also bitte keine providerspezifischen Lösungen anbieten!

Und wenn ich diesen Thread in English halte, dann bitte nicht deutsch hier hineinposten!

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
rushclub
Posts: 915
Joined: Tue 17. Feb 2004, 18:52

Re: Older releases of phpwcms <1.3

Post by rushclub »

oh sorry - thank you ;)

rush
3 (!) Jahre warten reichen mir. Ich bin erst mal weg.
Post Reply