CRITICAL BUGFIX RELEASE: Serendipity 0.8.2

Wednesday, June 29. 2005
Posted by Sebastian Nohn in Announcements, Security

Comments (11)
Trackbacks (30)

A serious security issue has been discovered in our bundled library XML-RPC. This issue allows for possible remote code execution.

We have upgraded the XML-RPC component to the fixed version and released Serendipity 0.8.2. The old SourceForge CVS HEAD branch now contains 0.8.2, and the SVN branches 0.8 and trunk also contain the changes.

The files can be found here:

http://www.s9y.org/12.html
or
http://sourceforge.net/project/showfiles.php?group_id=75065

Every user is urged to upgrade. As a temporary hotfix you can delete your serendipity_xmlrpc.php file so that your blog will not easily allow execution of maliclius XML-RPC method calls.

We are very sorry for this inconvenience and need to point out that many PHP applications using this common XML-RPC PEAR class are affected by this bug. Please check your webspace for any outdated versions of that PEAR class and upgrade other related applications as soon as possible. Also read this advisory.

Changelog

Version 0.8.2 (June 29th, 2005)
------------------------------------------------------------------------

    * fixed remote code execution vulnerability. Thanks to Gulftech
      Research for pointing out that bug and Stefan Esser for helping
      fix it (nohn)

    * Updated Spartacus to most recent version (nohn)

    * fixed serendipity_traversePath() -  PHP5 issue with array_merge()
      Thanks to jdhawk for the fix (flotsam)

    * CSS does no longer emit cache-restricting headers, so that the
      stylesheets can be cached by the browser for followup-requests
      Thanks to Sencer for pointing this out! (garvinhicking)
                
    * Patch/Bug #1209410 by swiesinger: When using shortcut admin URL,
      use https:// when specified by user

    * Fix deleting categories when having privileges but not being
      administrator (Patch #1205347, many thanks to Penny Leach)

    * Increased level of output message from the Spartacus plugin
      (garvinhicking)

    * Patched XML-RPC functions, thanks to Tim Putnam. This should enable
      XML-RPC services to properly fetch existing articles and edit them.

    * Fix Plugin API call performing too many unneeded SQL queries
      (garvinhicking)

    * Fix missing authorname when previewing entry. Thanks to winkiller,
      aquatic, thomas, wurstprinz and hansi for fixing this!

Trackbacks
Trackback specific URI for this entry

Sernedipity 0.8.2 released
Dank eines ziemlich kritischen Bugs in einem PEAR-Paket musste eine neue Version vom besten Blog der Welt her.
Weblog: codeschmie.de
Tracked: Jun 29, 15:51
Kritischer XML-RPC Bug, Serendipity betroffen
Diese Woche wurde ein gravierender Bug in den PEAR XML-RPC Klassen gefunden, der es ermöglicht beliebigen Code auf dem Webserver ausfzuführen. Da diese XML-RPC Klasse sehr verbreitet ist, wird sie unter anderem auch von Serendipity eingesetzt. Heute wu
Weblog: superBlog
Tracked: Jun 29, 16:12
Kritische Sicherheitslücke in S9Y!
In der Blog-Software Serendipity (S9Y) ist ein Fehler entdeckt worden welcher Zugriff auf den Rechner ermöglicht auf welchem S9Y läuft. Genauere Infos im offiziellen Blog von S9Y. Blogs die S9Y benutzen sollten schnellstens auf die neue stabile Version 0.
Weblog: Möhrenfeld
Tracked: Jun 29, 16:47
Serendipity Remote Exploit
Auch S9Y ist gegen die in Schwachstelle in PHP Nuke verwundbar. Es handelt sich um einen Fehler in der auch von S9Y verwendeten XML RPC Bibliothek aus PEAR. Der in Sebastian Nohns Blog genannte Fix behebt das Problem. Bis dahin ist ein Löschen oder ein
Weblog: Die wunderbare Welt von Isotopp
Tracked: Jun 29, 16:56
CRITICAL BUGFIX RELEASE: Serendipity 0.8.2
No babbling, just fixing: http://www.nohn.net/downloads/serendipity-0.8.2.tar.bz2 Workaround: Delete serendipity_xmlrpc.php (does not fix all problems with this issue but the most significant one).
Weblog: blog.nohn.net
Tracked: Jun 29, 17:05
Critical Bugfix Release
Wie im Serendipity-Blog zu lesen ist (und auch bei Krischan), hat Serendipity eine ernsthafte Sicherheitslücke. Update auf Version 0.8.2 dringlichst angeraten (und hier bereits in Arbeit).
Weblog: YellowLeds Weblog
Tracked: Jun 29, 17:13
XML-RPC Vulnerability
BEEP BEEP *BEEP* There's a serious vulnerability in the PEAR XML-RPC code. Serendipity uses this code, so a Update is available. Blogs on this server have been updated. You know who you are. We now return you to your regularly scheduled program
Weblog: JaBbA's Hut
Tracked: Jun 29, 18:21
Serendipity Remote Exploit
Wenn auch spät, dann auch hier der Hinweis auf eine Sicherheitslücke in der besten Blogsoftware der Welt - auch bei Master Kris nachzulesen. Entweder auf Version 0.8.2 updaten oder die serendipity_xmlrpc.php löschen.
Weblog: el*Loco blogged
Tracked: Jun 29, 23:18
Serendipity Remote Exploit - 0.8.2 veröffentlicht
Aufgrund eines kritischen Fehlers in der mitgelieferten XML-RPC Bibliothek wurde gestern Version 0.8.2 von Gottes eigenem Weblog, Serendipty, veröffentlicht. Es wird geraten, entweder auf Version 0.8.2 upzudaten oder die Datei serendipity_xmlrpc.php zu
Weblog: Neues für Nerze - Stoff für Mettwurst
Tracked: Jun 30, 09:55
Eine neue Version ist da..
War ja klar. Kaum installiert man alles und macht es lauffertig... schon kommt eine neue Version der benutzten Software heraus.Serendipity, die hier genutzte Blog-Software, wurde aktualisiert, da es einen erheblichen Bug in der genutzten XML-RPC-Libr
Weblog: Arbeitsschreck
Tracked: Jun 30, 11:49
Wichtige Updates für s9y und phpBB
Dieser Tage galt es, zweierlei kritische Sicherheitslücken durch das Einspielen aktueller Updates auf verschiedenen Servern zu schließen. Wer die Freude hat, das Forensystem phpBB administrativ beaufsichtigen zu dürfen, dem ist das Ausmerzen der regelmäss
Weblog: /* basquiat's lovely winter riot */
Tracked: Jun 30, 12:47
Update Serendipity
Achtung: Serendipity 8.1 enthält einen Fehler in der XML-RPC Komponente. [Link]. Ich habe hier noch nicht komplett upgedated, sondern nur die entsprechenden Dateien ausgetauscht.
Weblog: No Chicken
Tracked: Jun 30, 13:05
Remote Exploit in PEAR XML_RPC und PHP 4.4.0 RC 2
Der zweite Release Candidate (RC) für PHP 4.4.0 wurde veröffentlicht. Nach einem Bug in PEARs XML_RPC (und zwei kleineren Fehlern) reichte leider ein RC nicht aus. Eine Final ist für den 11.07.05 geplant.Der Bug befindet sich in PEAR XML_RPC <= 1.3
Weblog: PHP-Homepage.de - News
Tracked: Jul 01, 19:28
Site overhaul
Well, as you can see, the site has had a makeover. I have been contemplating this for some time, and while I was not planning on having it happen for months, the simultaneous crash of the blog earlier this morning (due to user error, i.e. me poking becau
Weblog: Mental Borborygmus
Tracked: Jul 01, 20:41
Security hole in S9Y
Due to a security hole in the s9y weblog software, I just updated to the latest version.The s9y urges to update as soon as possible. Read more about the issue in the s9y weblog:S9Y-Weblog: http://blog.s9y.org/archives/36-CRITICAL-BUGFIX-RELEASE-Serendipit
Weblog: Doomshammer's Weblog
Tracked: Jul 01, 21:25
Kritische Sicherheitsluecke in s9y 0.8.1
In der Version 0.8.1 von s9y scheint ne entsprechende Luecke im XML-RPC Krams zu sein. Hier werden Daten nicht richtig validiert bevor sie durch eval gejagt werden. Naehere Infos finden sich im Web Developer Blog hier: http://blog.s9y.org/archives/36-C
Weblog: echox's blog
Tracked: Jul 01, 23:52
Sicherheitslücke in XMLRPC
via hardened-php.net Ein XMLRPC Bug erlaubt die entfernte Ausführung von Code. http://secunia.com/advisories/15852/ Zu angreifbaren Applikationen gehören: Serendipity WeblogWorldpressPost Nukeund andere Der Bug befindet sich in PEAR XML_R
Weblog: r23
Tracked: Jul 02, 00:58
Bug in Serendipity
Habe grade bei Doomshammer gelesen, dass Serendipity ein Sicherheitsloch hat und es deshalb geupdated. Nur falls sich einer ueber die Downtime gewundert haben sollte.. ;)
Weblog: Bho's Blog
Tracked: Jul 02, 12:13
CRITICAL BUGFIX RELEASE: Serendipity 0.8.2
Here you can find more information. I recommend this upgrade highly. To upgrade, just install the files, copy all over the existing install (I removed templates before that, so it won't be overwritten) and visit your blog. Then just follow the directions
Weblog: blog of a restless mind
Tracked: Jul 02, 13:27
Sicherheitslücke
Wegen einer kritischen Sicherheitslücke in der Weblogsoftware Serendipity wird ein Update auf die Version 0.8.2 empfohlen. Hier habe ich die neue Version soeben aufgespielt. Das anschließende Update lief problemlos.
Weblog: roland gruen weblog
Tracked: Jul 03, 09:35
Mein Parteibuch: Bugfixes für Internet Explorer und Security Bug Wordpress xmlrpc Interface
Ich hasse programmieren. Trotzdem habe ich hier auf “Mein Parteibuch” gerade drei Bugfixes eingebaut. Mein Parteibuch verwendet jetzt die neueste Version der xmlrpc.php von Wordpress 1.3 . Ich hoffe, dass sich damit der Security Bug der xm...
Weblog: Mein Parteibuch
Tracked: Jul 04, 15:11
Exploits in Serendipity
There ahve been some exploits discovered in some of the bundled libraries that provide some functionality to many php based blogging tools, including serendipity. All users are encouraged to download the newest version and upgrade...it is a painless proce
Weblog: The Unfinished Symphony
Tracked: Jul 05, 03:01
Netcraft: PHP Blogging Apps Vulnerable to XML-RPC Exploits
Weblog: Privacy Digest: Privacy News (Civil Rights, Encryption, Free Speech, Cryptograph
Tracked: Jul 05, 18:59
Serendipity 0.82 und Spartacus
Ich habe soeben S9Y auf die neue Version aktualisiert. Dieses Release behebt einen kritischen Fehler im XML-RPC-Modul, mit dem möglicherweise hätte Code ausgeführt werden können. Bei der Gelegenheit habe ich etwas mit Spartacus experimentiert und ich m
Weblog: nodomain.cc
Tracked: Jul 07, 13:07
Site hacked on July 4th
Just saw that my website frontpage was defaced on July 4th at 16:05EST.  Wow.  Great 5ki11z h4x0r!  F'ing script kiddies need to find something better todo.  The script kiddie was so proud he submitted the site 5mins later to a defacement tracking website
Weblog: EvansNC.com
Tracked: Jul 07, 23:49
Update van de software
Ik heb gisteravond maar even de nieuwe versie van Serendipity geinstalleerd, en de voorbereiding gemaakt voor nog een Weblogger (wie dat gaat worden is nog even geheim!). Die nieuwe software was nodig omdat er in serendipity een lek zat waardoor kwaad w
Weblog: Weblog van Gerald Ebberink
Tracked: Jul 11, 10:30
CRITICAL BUGFIX RELEASE: Serendipity 0.8.2 - s9y::blog
Hoffentlich kommt mir keiner und wirft mir vor, dass ich ziemlich spät bin, denn das Security Release ist immerhin schon vier Wochen alt.Aber dem würde ich antworten, dass ich es natürlich schon vor dreieinhalb Wochen eingespielt habe, nur eben nicht er
Weblog: Zockertown
Tracked: Jul 23, 13:00
Configured Serendipity
After almost no trouble at all, I configured Serendipity 0.8.2 for this blog. As you can see, I used the defaults in most places, maybe later I will change some of them. I hope to write more things down, hopefully this blog will be a good thing.
Weblog: Tom Lovie's weblog
Tracked: Jul 26, 19:47
Serendipity Update
Das freundliche Serendipity Team empfiehlt die Datei serendipity_xmlrpc.php zu löschen. Diese Datei stellt eine RPC-Schnittstelle für andere Anwendungen dar und ermöglicht Sachen wie w.bloggar. Gleichzeitig ist dies aber auch eine mögliche Schwachstelle u
Weblog: 256bit.org Blog
Tracked: Aug 10, 21:36
Serendipity hat was
Nachdem im Verlauf der letzten Woche ein dickerer Bug in den PEAR XMLRPC-Klassen gefunden wurde, waren durch diesen Bug auf einen Schlag diverse, in PHP geschriebene Applikationen von außen angreifbar. Leider fiel auch Serendipity darunter. Nachdem ic
Weblog: Captain's Blog
Tracked: Aug 11, 07:52

Comments
Display comments as (Linear | Threaded)

Is it sufficient to replace that serendipity_xmlrpc.php file with the new one from the 0.8.2 tarball?
#1 cottonwood on 2005-06-29 16:51 (Reply)
No. It is not. You need to replace bundled-libs/XML/RPC.php and bundled-libs/XML/RPC/Server.php
#1.1 Sebastian Nohn (Homepage) on 2005-06-29 16:54 (Reply)
Is there no other changes on this upgrade???
#2 Mandrake (Homepage) on 2005-06-30 01:18 (Reply)
There are several other fixes over the last weeks, you can get detailed info via docs/NEWS.
#2.1 winkiller (Homepage) on 2005-06-30 07:35 (Reply)
FLICKR posting by way of XML_RPC has been affected, any one know how to fix that?
#3 csloh on 2005-07-01 09:13 (Reply)
Solution found for Flickr & Serendipity 8.02. Note to self: don't be too hasty to post anything, there may be an easy answer if I am to look first. :-)
http://blog.csloh.com/archives/55-Flickr-and-Serendipity-8.02.html
#3.1 csloh (Homepage) on 2005-07-01 10:10 (Reply)
I have just copied the newer files across and I get:

Unknown column 'a.realname' in 'field list'

and an sql error. I am guessing it hasn't upgraded the old database format, and of course the upgrade.sh script is broken. Is there any WORKING documentation on how to perform this db upgrade?
#4 Matt on 2005-07-05 11:35 (Reply)
Okay so it turns out that to upgrade to v0.8x you need to be running newer than php 4.2. Which I wasn't (debian woody). Anybody having the same problem might want to look at upgrading php first.

This is something that REALLY should be in the upgrade instructions file.
#4.1 Matt on 2005-07-05 12:50 (Reply)
So what do we need to replace if we want all the fixes, but also want to keep our previous installation - I like my templates, the way my plugins are set up, my file path locations etc.
The upgrade document helps not at all and neither does the rest of the documentation. I can't see how I can get around doing a fresh install, and redoing all the changes I did then :(
#5 Robin (Homepage) on 2005-07-05 11:49 (Reply)
Your templates, plugins, config stays where they are through an upgrade. You don't need a fresh install and re-do all the changes and configurations.
#5.1 LH on 2005-07-05 13:47 (Reply)
I cannot seem to find where to get the latest snapshot to upgrade the beta version. The CVS doesn't work at all for some reason. Is there a different location for it? Does it need to be fixed?
#6 Jon (Homepage) on 2005-07-09 10:24 (Reply)

Add Comment

E-Mail addresses will not be displayed and will only be used for E-Mail notifications

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

BBCode format allowed
 
 
 
 

Frontpage - Top level

 

Quicksearch


Categories


All categories

Archives

July 2008
June 2008
May 2008
Recent...
Older...

SVN/CVS state

The current nightly/SVN trunk state is: testing 1.4

News: Performance of entryproperties-plugin

Recommendation(s): Use 1.3 release

Please report issues and bugs on our Bugtracker. Your help is very much appreciated.


Syndicate This Blog


More RSS Feeds

Event Plugins
Sidebar Plugins
SVN/CVS commits
Serendipity around the world

Handbuch für Serendipity


Das offizielle, umfassende Serendipity-Handbuch für Einsteiger und Profis ist nun im Handel und kann online bei Amazon oder Open Source Press bestellt werden, oder auch bei jedem Buchhändler.