Se ha publicado la versión 2.7.3 del complemento de Foro de Geeklog, mismo que corrige un importante problema de seguridad que involucraba ejecución cruzada de guiones utilizando usuarios anónimos.

Un inconveniente al estar editando comentarios o notas largas en Geeklog, es que si nos tomamos demasiado tiempo escribiendo, al darle click para guardarla, se pierde por completo.

Esto se debe a un "token" de seguridad incorporado por Geeklog, el cual viene configurado por defecto para conceder una sesión de 20 minutos.

Por fortuna esto se puede ajustar al tiempo uno necesite, bastará con editar:

Geeklog 1.6.1 esta disponible para su descarga. Este lanzamiento es recomendado para cualquiera que utilice Geeklog 1.6.0, debido a que corrige varios problemas de lanzamientos anteriores.

Hace algunos días, se publicó un exploit que permite la carga directa de archivos un sitio de Geeklog, utilizando el conector de PHP incluido con FCKeditor. Las subidas tienen que pasar por los filtros de FCKeditor, por lo que no es posible utilizar estos datos para poner en peligro la integridad de Geeklog, sin embargo, si es posible hospedar malware o algún otro tipo de archivos (hosting gratis).

El segundo candidato para lo que será Geeklog 1.6.0 ahora esta disponible para su descarga. Contiene algunas sorpresas asi como solo es un espacio de tiempo para lo que será la versión final 1.6.0.

Esta liberación ya tiene arreglado los fallos de seguridad FCKeditor, algunos mas problemas sobre migración del guion de instalación, arreglado lo de búsqueda y fechas y algunas actualizaciones de traducciones.

La primera liberación del primer candidato de los que será la versión Geeklog 1.6.0 ahora disponible para descargar.

Solo tiene nuevos cambios de la versión beta 3, respecto al guón de instalación. sugieren que si no han probado las versiones betas, esta podría ser una buena oportunidad para probar lo que será la versión definitiva 1.6.0.

El usuario Bookoo nuevamente ha publicado su guión (exploit SQL injection) para este sistema. Ahora le problema radica en el fichero usersettings.php y en el cual puede ser extraído la contraseña de cualquier cuenta de usuario. Geeklog 1.5.2sr4 reparo este problema y esta ya disponible.

La actualización está disponible en tres formatos:

• Paquete completo, para instalaciones nuevas y actualizaciones desde cualquier versión de Geeklog.
• Actualización simple de Geeklog 1.5.2sr3 a 1.5.2sr4.
• Actualización acumulativa, que permite actualizar desde Geeklog 1.5.2 e incluye los parches de seguridad desde 1.5.2sr1 hasta 1.5.2sr4.

Otro tipo de ataque que puede ser ocasionado por un exploit  mediante injección SQL se ha descubrido en la versiones liberadas 1.5.x, esta apuntado al servicio Webservices API de Geeklog (no afecta a versiones anteriores).

Mientras se da la solucion definitiva se recomienda descativas este servicio de la siguiente manera:

En la parte administrativa:

Configuration > Geeklog > Miscellaneous > Webservices

Dando el valor de False

El usuario Bookoo de Nine Situations Group ha publicado un guión que explota una vulnerabilidad de inyección de código para glFusion que también afecta a Geeklog en todas sus versiones. Durante las pruebas, este guión ejecutable permitió a un atacante extraer los criptogramas de las claves de acceso de cualquier cuenta. El problema se corrige con el lanzamiento 1.5.2sr2 de Geeklog. Por favor, tomar en cuenta que este problema de seguridad está presente en cualquier versión anterior a la 1.5.2sr2, y es urgente e imperativo aplicar el parche que corrige el problema.

Se encuentra disponible la versión de Geeklog 1.5.2.sr1 puesto que la versión anterior presenta un fallo de seguridad.

Este fué encontrado por estudiantes en la participación de Google Summer of Code with Geeklog de Geeklog.

Anuncio oficial y detalles sobre esto en el siguiente enlace.