myGallery0.x - mE ein Sicherheitsrisiko!

Die Sicherheitslücke wird gerade von mir überprüft. Es wird auch noch heute eine neue gepatchte Version geben, die eventuelle Lücken schließt.

 

Ab sofort steht die Version 0.5.1 von myGallery zum Download zur Verfügung: http://www.wildbits.de/mygallery/

Wichtige Änderung: Es werden grundsätzlich nur noch .jpg Dateien zugelassen. Sollte sich in einer hochgeladen ZIP-Datei andere Dateien befinden, werden diese automatisch gelöscht.

 

kurze Zwischenfrage: kann nicht nur der wp-admin user Bilder hochladen? wenn ja, ab welchem Level? Da dies sonst nur eine Vertrauensache ist ... wie bei php-exec

z.b. zip upload ohne bildtest nur ab level 9 möglich

 

Noch mal kurz eine Zwischenstand: Grundsätzlich werden in Version 0.5.1 nur .jpg Dateien verabeitet. Sollte in einer ZIP-Datei etwas anderes enthalten sein, wird dies gelöscht. Alle Benutzer mit einem Minimu-Level von 5 können mit myGallery arbeiten.

 

@Arno und Thomas: Ich würde es nicht öffentlich machen (würde aber eh null Plan haben *g*). Aber Dankeschön möchte ich mal an der Stelle sagen für die schnelle Reaktion!

 

Um noch die letzetn Bendenken zu zerstreuen, hab ich noch eine weitere Sicherheitsabfrage eingebaut. Version 0.5.2 steht ab sofort zum Download bereit: http://www.wildbits.de/mygallery/

Damit gibt es aus meiner Sicht keine Sicherheitslücken durch myGallery mehr.