Es wird dringend geraten, auf die Version LocalFS 1.2-andreas upzudaten! Ältere Versionen erlauben anonymen Usern den Upload von Dateien auf den Server. Am 10.3.2004 wurde auf Zope.org von SmileyChris eine gepatchte Version des beliebten Zope-Products LocalFS veröffentlicht, die unter anderem die Berechtigung "Upload local files"  für das Browser-basierte Speichern von Dateien auf dem Server voraussetzt.
In älteren Versionen wurde bei der Installation des Products per default auch anonymen Usern der Datei-Upload gestattet.

Leider gibt es in der Version von SmileyChris einen Fehler, der den Einsatz seiner Version unter Zope2.7b3 und höher verhindert. Deshalb veröffentlichen wir hier "unsere" Version.

Auch PloneLocalFS ist in einer neuen Version erschienen, die diese Sicherheitslücke schließt. Außerdem wird nun nach dem Upload einer Datei sofort wieder die Dateiliste angezeigt und nicht wie in früheren Versionen eine weiße Seite mit dem Hinweis des erfolgreichen Uploads ausgegeben.


Wir raten allen Usern von LocalFS und PloneLocalFS dringend zu diesen sicherheitsrelevanten Updates!

Nachtrag

Die Version PloneLocalFS 0.0.5 enthielt noch einen Fehler, der auftritt, wenn man Berechtigungen im ZMI (Zope Management Interface)  verändern.
Dieser Fehler ist in Version 0.0.6 behoben.

Die Software steht unter der GNU Public License und kann im Download -Bereich kostenlos heruntergeladen werden.

---

Andreas Heckel