Forum

[Jan.Kristinus]

Hallo,

REDAXO 3.3 steht kurz vor der Betafreigabe, dennoch haben wir als Zwischenversion noch die 3.2.2 rausgebracht. Einerseits gibt es einen Bug bei der Generierung der URL, andererseits ist nun eine Sicherheitslücke behoben welche unter bestimmten Servereinstellungen kritisch ist. Deswegen empfehlen wir unbedingt bei Neuinstallationen die neueste Version und die Aktualisierung der alten Versionen. Um ein komplettes Update zu vermeiden, haben wir die entsprechend gepatchten Dateien in den Downloadbereich gelegt. Dort gibt es für die jede Version die jeweils passende Datei.

lg

Jan

[zehbaeh]

Hmm...die Methode des schliessen der Lücke ist aber ein wenig heftig.
Das FE zeigt gegenüber den Vorversionen jetzt ein anderes Verhalten, auch gegenüber Register Globals on. Code der auf vorhandensein der GPCS-Variablen baute dürfte damit nicht mehr funktionieren, es sei den Register Globals ist on. Oder hab ich was übersehen? (hab mir ehrlich gesagt nur die vermeintlich relevanten Stellen angesehen)

[zehbaeh]

Oh...wollte Editieren, geht aber nicht?!
Ok...ich hab was übersehen.)
Die entsprechende Datei wird doch im FE inkludiert.

[Markus.Staab]

Hi,

also funktioniert alles wie es soll?

Gruß,
Markus

[Koala]

Übersicht über die geänderten Dateien von Version 3.2 zu 3.2.2:

index.php
redaxo/index.php

redaxo/include/classes/
class.article.inc.php
login.inc.php

redaxo/include/functions/
function_rex_modrewrite.inc.php
function_rex_mquotes.inc.php

redaxo/include/pages/
content.inc.php
structure.inc.php

Ich hoffe nichts übersehen zu haben

Das Sicherheitsupdate SP2, die Datei functions.inc.php, ist hier noch nicht mit dabei!

[Kalle01]

Hallo,
als Anfänger weiß ich zurzeit noch nicht, wie ich mit den gerade gelesenem umgehen soll!

Einfach die oben genannten Dateien aus dem Zipfile extrahieren und damit die alten Dateien ersetzen?

Danke für eine Erklärung

Gruß Kalle

[Markus.Staab]

Hi Kalle,

insofern du selbst keine Änderungen an den vorhandenen Dateien vorgenommen hast, ja.

Sicherheitshalber aber immer die Dateien vorm überschreiben nochmal sichern / kopieren.

Gruß,
Markus

[Kalle01]

Danke für die Info.
Zum "Selberändern" dieser Dateien bin ich zum Glück / leider noch zu dumm!

Gruß Kalle

[Markus.Staab]

Hi,

besser die Dateien im Core nicht verändern, denn dann hat man wie du richtig sagst, keinerlei Probleme bei einem evtl Update..

Viele Grüße,
Markus

[jeandeluxe]

Moin,

.. dennoch haben wir als Zwischenversion noch die 3.2.2 rausgebracht. Einerseits gibt es einen Bug bei der Generierung der URL, andererseits ist nun eine Sicherheitslücke behoben welche unter bestimmten Servereinstellungen kritisch ist.

Details oder the Apple way..? ;->

Um ein komplettes Update zu vermeiden, haben wir die entsprechend gepatchten Dateien in den Downloadbereich gelegt. Dort gibt es für die jede Version die jeweils passende Datei.

Hm, bezieht sich die update Empfehlung also lediglich auf die functions.inc.php?

Was ist mit den den Dateien die Koala genannt hat? Ich hab sie mal kurz aufgemacht und war etwas erstaunt über identische Versionsnummern.. muß man sich da was bei denken?

Wäre nett wenn es von eurer Seite ne "offizielle" Liste der upzudatenden Dateien gäbe.. (nicht das ich Koala nicht vertrauen würde.. ;-)

lg,
Jan

[Jan.Kristinus]

Hallo,

Details über das Sicherheitsproblem werden wir noch nicht veröffentlichen, da es nur dazu verführt das andere das ausnutzen wollen. Ein Kenner erkennt das durch die angepassten Dateien sowieso schon viel zu schnell.

Allgemein: Nur die functions.inc.php muss ausgetauscht werden. Für ein komplettes Update sind die Daten die Koala genannt hat richtig.

lg

jan

[jeandeluxe]

Moin,

Details über das Sicherheitsproblem werden wir noch nicht veröffentlichen, da es nur dazu verführt das andere das ausnutzen wollen. Ein Kenner erkennt das durch die angepassten Dateien sowieso schon viel zu schnell.

d'accord..

Allgemein: Nur die functions.inc.php muss ausgetauscht werden. Für ein komplettes Update sind die Daten die Koala genannt hat richtig.

Ok, ich war von deinem posting dahingehend etwas verwirrt..

Ein Vorschlag: wie wärs nen eigenen patch Download anzubieten.. ne Installation mit nur den besagten Dateien in place? Dann könnte man einfach nen ftp-sync ab root laufenlassen ohne sich über irgendwas Gedanken machen zu müssen..

Doch nochma gefragt: Ist das mit den identischen Versionsnummern ein lapsus oder Absicht? Das hatte mich vorhin noch zusätzlich verwirrt.. x ftp und editor fenster offen, und man weiß schnell nicht welches jetzt welches war.. 8-]

Davon abgesehen Dank das ihr da so fix dran seid, cudos!

lg,
Jan

[helga]

hallo,

wird in der neuen Version nun auch eine Registrierung für User mit dabei sein?

[Markus.Staab]

Hi helga,

was genau meinst du?
Communities sind schon seit 3.0 mit dem simple_user Addon möglich.

Viele Grüße,
Markus

[Thomas.Blum]

Hej,

was genau meinst du?

ich vermute das sie genau das meint, was du vermutet hast. So etwas muss man sich selbst zusammenstellen oder warten bis das Community Addon für 3.2 freigegeben wird.

Communities sind schon seit 3.0 mit dem simple_user Addon möglich.

Sogar schon seit der Version 2.7 eventuell sogar auch schon seit 2.6 .

vg Thomas