Tango 2.2.0 schließt Sicherheitslücken

- 17. Dezember 2008

Das Tango-Projekt hat Version 2.2.0 seines Content-Management-Systems für Webseiten veröffentlicht. Im Zentrum der Release steht die Behebung von Sicherheitslücken.

Im soeben abgeschlossenen Entwicklungszyklus hatten die Tango-Macher von zahlreichen Sicherheitsproblemen erfahren und daher deren Behebung zum wichtigsten Ziel für Version 2.2.0 mit dem Codenamen “Eagle” gemacht. Geplante Neuerungen wie beispielsweise einen einfachen WYSIWYG-Editor oder Verbesserungen der Bedienbarkeit haben die Entwickler auf die Version 2.3.0 (“Dolphin”) vertagt, die für Mitte 2009 geplant ist.

Ein Eintrag im Bugtracker des Projekts bezeichnet die Sicherheitslücken als Kandidaten für Cross-Site-Request Forgery (CSRF). Die behobenen Schwächen hätten alle bisherigen Versionen betroffen, Details wolle man aus Sicherheitsgründen nicht nennen, heißt es in dem Eintrag.

Bei einer CSRF-Attacke führt der Benutzer in einer Webanwendung Aktionen aus, die er eigentlich gar nicht durchführen möchte. Das geschieht beispielsweise durch einen Link oder eine Bild-URL, die der Angreifer dem Anwender unterschiebt. Besonders erfolgversprechend sind Angriffe über Benutzer, die hohe Berechtigungen besitzen: Bringt man den Administrator einer Seite dazu, bewusst oder unbewusst eine URL der Anwendung innerhalb einer gültigen Sitzung aufzurufen, kann man Aktionen mit dessen Privilegien ausführen, beispielsweise Inhalte oder Benutzer löschen. Weitere Informationen zum Thema CSRF (auch als XSRF bekannt) gibt es zum Beispiel beim Open Web Application Security Project (OWASP).

Die Version 2.2.0 des Tango-CMS steht als Tarball zum Download bereit. Daneben ist der PHP-Quellcode über das Subversion-Repository des Projekts erhältlich.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen