Hallo Leute,

(nein, ich wollte das _nicht_ so abschicken ...)

'es gibt' nun eine neue Version 1.11 von gzip_cnc, welche die
bisherige Mißbrauchsmöglichkeit hoffentlich abfängt. Die mir
bekannte Methode funktioniert jetzt jedenfalls nicht mehr.

Um die obige Aussage zu relativieren: Es gibt noch _kein_
fertiges Download-Paket mit aktualisierter Dokumentation.

Auf meiner Domain läuft aber bereits die Version 1.11 - Eure
Besuche können also als Stabilitätstest dienen (nein, ich
_brauche_ nicht mehr traffic, ich habe aber noch einiges an
Luft nach oben in meinem Webspace-Vertrag ...).
Insbesondere habe ich jetzt auch wieder eine Version 1.11 im
Selbsttest-Modus verfügbar (verlinkt aus der Installations-
beschreibung) - diese hatte ich nach der Meldung des Fehlers
erst mal abgeschaltet.
Ich habe nichts dagegen, wenn jemand anhand dieses bekannten
URLs versucht, das Problem der Version 1.10 auf meinem Server
zu reproduzieren, um zu prüfen, ob das Loch wirklich gestopft
ist.

Die bereits angepaßten Teile der Dokumentation sind auch schon
online verfügbar.
Der wichtigste Teil ist natürlich der geänderte Quelltext unter
   http://www.schroepl.net/projekte/gzip_cnc/program.htm
, den ich hiermit möglichst vielen möglichst mißtrauischen
Augen zum Überprüfen anbiete.
Neu dabei ist die Funktion "validate_handler_activation",
welche die zusätzliche Prüfung der Art des Aufrufes dieses
Skripts zu realisieren versucht.
Ich mache ausdrücklich darauf aufmerksam, daß die Art des
Angriffs im Kommentar dieser Funktion sehr genau beschrieben
ist - nur dadurch ist es Euch möglich, zu kontrollieren, ob
meine Gegenmaßnahme das Problem wirklich lösen kann.

Wer bereits jetzt auf Version 1.11 umsteigen will, kann sich
den Perl-Quelltext in dieser HTML-Seite im Browser markieren
(Cntrl-A), kopieren (Cntrl-C) und per Editor in eine Datei
abspeichern.
Das geht wesentlich effizienter, als den tatsächlichen Inhalt
dieses (programmgenerierten) HTML-Dokuments (mit entity-
encoding usw.) irgendwie weiter verarbeiten zu wollen.

Am Wochenende werde ich die Dokumentation anpassen und ein
neues Download-Archiv basteln.

Viele Grüße
      Michael