Cross-Site Scripting and Local File Inclusion Vulnerabilities

Beste mensen, ik kreeg daarnet een mail met topic zoals van deze posting. Kwam van ene [email protected] Ehm die ken ik niet. Tevens vond ik het als announcement op http://modxcms.com/forums/index.php/topic,55062.0.html van smashingred , die ken ik ook niet. Waarom staat dit niet gewoon op de website (en liefst nog in dikke letter bovenaan) of kijk ik soms verkeerd?

De vraag (voor mij tenminste) is of dit wel te vertrouwen is? Of zou ik júist bagger gaan patchen? Niet dat ik MODx 2.0 al gebruik want mijn php versie moet ik nog updaten
Er zitten mij teveel gaten in dit cms en ik heb in het verleden es een dobbertje opgegooid bij admins die ik vertrouw , maar als ik naar al die versies en extensions kijk dan valt me op hoe vaak het bagger is geprogrammeerd. Zo vind ik het steeds moeilijker om informatie te vertrouwen.

Een aantal van mijn klanten raad ik al een poosje simpelweg af om met opensource te werken. Zeker wanneer dat webshops betreft. Wat is jullie ervaring / mening? Just curious.

groeten,
IngMA te Amsterdam (online bezig sinds 1995).

Ik corrigeeer dit meteen even

Ik krijg zojuist (lekker snel) een mail van SmashingRed en die stelt : Ryan Thrash is the founder and CEO of MODx the company behind MODx CMS.
Het was i.e.g. beter geweest waneer ie niet vanaf zijn eigen adres mailde, maar goed, we maken allemaal kleine uitglijders
Het is niet mijn bedoeling geweest om MODx af te zeiken of zo. Maar ik ben steeds meer op mijn kwievieven.
Cheers folks.

Beste IngMA, Ik gebruik modx ik nu al vanaf het begin en ben erg tevreden en idd er worden wel eens fouten gemaakt, maar kijk eens naar windows hoe vaak die per week komen met een beveiligings update? daar hoor je niemand over.

modx is een van de veiligste opensource systemen die ik ken. het nadeel van opensource is dat zoals het woord al zecht open is en iedereen kan zien hoe het werkt en of er dus gaten inzitten, bij closed source worden net zo veel fouten gemaakt alleen worden die niet zo snel gevonden omdat niemand zomaar onder de moterkap kan kijken.

wij draaien nu ongeveer 150 websites op evo en we zijn nog nooit gehackt op een modx site, wel 3x op een joomla site die wij niet gemaakt hadden maar een klant er zelf op had gezet.

als je je server goed voor elkaar hebt kan je met modx niet zo veel geks gebeuren.

oja en over webshops... houd VisionCart in de gaten, helemaal gebouwd op modx revo en erg cool...
http://modxcms.com/forums/index.php/topic,53058.0.html

Dimitri

Hoi Dimmy, niet helemaal met je eens, over MS Bagger hoor je juist heel veel afhankelijk waar je je oor te luisteren legt. En dat is met Adobe (Reader, Flash) of bijv. iTunes al niet veel beter.
Overigens ging de melding over Revo en jij refereert aan sites in Evo

En de next exploit is er al : http://modxcms.com/forums/index.php?topic=55314.msg318284#msg318284

Groet, IngMa

Quote from: IngMA at Oct 06, 2010, 12:30 PM

Hoi Dimmy, niet helemaal met je eens, over MS Bagger hoor je juist heel veel afhankelijk waar je je oor te luisteren legt. En dat is met Adobe (Reader, Flash) of bijv. iTunes al niet veel beter.
Overigens ging de melding over Revo en jij refereert aan sites in Evo

En de next exploit is er al : http://modxcms.com/forums/index.php?topic=55314.msg318284#msg318284

Groet, IngMa

is een waarshuwing let op de laatste regel in deze post:
Note: This vulnerability does not affect the phpThumb that is included in the MODx Revolution distribution.

of te wel in revo is dit probleem er niet
alleen als je phpthumb zelf hebt geinstaleerd.

Ja je hebt helemaal gelijk. Touché