Version 6.1.0.2 – Sicherheitsupdate!

Veröffentlichungsdatum 01.11.2010
Sicherheitsupdate ja
Behobene Fehler 27
Optimierungen 15
Übersicht Versionshistorie

Hinweis

Diese Version behebt zwei kritische, sicherheitsrelevante Fehler, daher wird ein zeitnahes Update allen webEdition Anwendern dringendst empfohlen.
Dabei handelt es sich um eine SQL Injektionsmöglichkeit und eine Reflektive XSS Verwundbarkeit.

Noch ein Hinweis an Administratoren: Das fehlerhafte Verhalten von <we:ifRegisteredUser cfilter="true" /> bei gesetztem Kundenfilter und Einstellung "Kein Filter benutzen (alle Besucher haben Zugriff)" wurde korrigiert. Wird exakt diese Einstellung in Dokumenten verwendet, so erhalten jetzt tatsächlich alle Besucher Zugriff auf die betroffenen Dokumente. Dies sollte vor und nach dem Update umgehend kontrolliert werden.

Vollständige Übersetzungen: Deutsch, Deutsch_UTF-8, Dutch, Dutch_UTF-8, English, English_UTF-8, Finnish, Finnish_UTF-8
Unvollständige Übersetzungen: French_UTF-8, Polish_UTF-8, Russian_UTF-8, Spanish_UTF-8

Nach dem Update sollten folgende Rebuilds durchgeführt werden: Dokumente und Vorlagen

Verbesserungen

  • Gerade bei der Weiterverarbeitung von Formulardaten, aber auch bei anderen Gelegenheiten kann das gezielte Ansprechen von übergebenen Werten mittels $_GET / $_POST die Sicherheit erhöhen. Daher wurden bei den Tags <we:var>, <we:ifVar>, <we:ifNotVar>, <we:ifVarSet>, <we:ifNotVarSet>, <ifVarEmpty>, <ifVarNotEmpty> jeweils das Attribut type, bei <we:SetVar> die Attribute to und from und bei <we:pageLanguage>, <we:objectLanguage> und <we:votingField> das Attribut to um die Werte post und get ergänzt (#147).
  • Der Tag <we:dateSelect> kennt jetzt auch das Attribut style (#165)
  • Systeminformation: Die verwendete PCRE Version wird jetzt angezeigt (#4702), bei fehlenden PHP-Extensions werden Warnungen ausgegeben (#4706) und der Entwicklerzweig (es sei denn es ist trunk) wird angezeigt (#4710).
  • Backup: Bei der Umstellung von Legacy ISO-Sites auf UTF-8 werden jetzt auch Shopdaten (tblOrders) berücksichtigt und umgestellt (#4794), derzeitigte Test-Basis: der alte Demo-Shop.

Installation und Update

  • Die Dokumentation der Versionshistorie wurde aktualisiert und um PCRE-Version und notwendige PHP Extensions erweitert (#4707), aktualisiert auf http://documentation.webedition.org/wiki/de/webedition/system-requirements/start.
  • liveUpdate: Im UpdateLog werden jetzt bei Aktualisierungen auch die SVN-Revision und der Entwicklerzweig gespeichert (#4533). Umgesetzt auf dem Update-Server und für alle Versionen sofort gültig.
  • liveUpdate: Vor der Durchführung des Updates werden gegebenenfalls Warnungen bzgl. veralteter PCRE-Versionen (#4701) und fehlender PHP-Extensions angezeigt (#4708). Umgesetzt auf dem Update-Server und für alle Versionen sofort gültig.
  • liveUpdate: Beim Update von Testversionen wird jetzt der bereits verwendete Entwicklerzweig angezeigt, in der Versionsauswahl die Entwicklerzweige angezeigt aus denen die verschiednen Testversionen kommen (#4698) und neben der Version mit der höchsten Versionsnummer (die in diesem Zusammenhang nicht aussagekräftig ist) auch die aktuellste Version aus dem verwendeten Entwicklerweig angezeigt (#4699). Umgesetzt auf dem Update-Server und für alle Versionen sofort gültig.
  • Onlineinstaller/Tarball-Setup: Vor der Installation werden gegebenenfalls Warnungen bzgl. veralteter PCRE-Versionen (#4700) und fehlender PHP-Extensions angezeigt (#4709). Für den OnlineInstaller umgesetzt auf dem Update-Server und für alle Versionen sofort gültig, mit der Möglichkeit versionsspezifische Warnungen auszugeben.
  • OnlineInstaller: Der OnlineInstaller zeigt jetzt den Entwicklungszweig an, aus dem die verschiedenen Testversionen stammen (#4697)

Behobene Fehler

  • Bei einer <we:listview type="document"> kann das Attribut recursive jetzt auch mit PHP übergeben werden (#4818)
  • Der Tag <we:dateSelect> wertet jetzt das Attribut class taqtsächlich aus (#4741)
  • Einige PHP-Warnungen wurden entfernt: "Undefined Index TagRefURLName" in der weTagDataClass (#4737) und "Undefined Index l_taged" in der weTagDataClass (#4738)
  • Der Beschreibungstext bei Miniaturansichten Label "Interlace Ja / Nein" ist jetzt eindeutig (#119)
  • Backup: Bei der Umstellung von Legacy ISO-Sites auf UTF-8 werden jetzt auch Linklisten richtig umgestellt (#4671)
  • Backup: Probleme beim Wiederherstellen eines UTF-8 Backups, die bei einer ehr seltenen Serverkonfiguration auftreten konnten, wurden beseitigt (#4092 und #4620)
  • Navigation Auch bei gesetztem Anker wird der Link auf geparkte Dokumente nicht mehr angezeigt (#4744)
  • Navigation Ein Fehler im Navigationstool bei Benutzung von Kundenfiltern wurde beseitigt (#4747)
  • Navigation Geparkte Objekte werden bei einer Navigation mit "Dynamische Auswahl ? Objekte" nicht mehr angezeigt (#4797)
  • Benutzerverwaltung: Eine PHP-Notice beim Anlegen eines neuen Benutzers wurde entfernt (#4705)
  • Kundenverwaltung: Eine PHP-Notice wurde entfernt (#4683)
  • Kundenverwaltung: Das fehlerhafte Verhalten von <we:ifRegisteredUser cfilter="true" /> bei gesetzten Kundenfilter und Einstellung "Keinen Filter benutzen, alle haben Zugriff" wurde korrigiert (#4727)
  • DB/Objekt-Modul: Mit <we:ifField lassen sich jetzt auch Felder der Typen "int" und "float" auf den Wert 0 vergleichen (#4815)
  • Voting-Modul: Das Löschen einer Version erzeugt keine PHP-Notice mehr (#4802)

Installation und Update

  • liveUpdate: Eine sehr selten erscheinende Fehlermeldung im UpdateLog wurde beseitigt (#4681).
  • liveUpdate: Der Verbindungsabbruch nach Beendigung des UpdateVorgangs auf die 6.1.0.1 wurde beseitigt (#4687), umgesetzt auf dem Update-Server und sofort für alle Versionen wirksam.
  • liveUpdate: Bei Installationen, die die Beta-Sprachen beinhalten, wurde das Update auf neue Versionen verweigert. (#4704), umgesetzt auf dem Update-Server und sofort für alle Versionen wirksam.
  • liveUpdate: Bei einigen mit Suhosin geschützten Installationen wurde das Update durch die Prüfung der Systemvoraussetzungen verhindert. (#4713), Problemlösung umgesetzt auf dem Update-Server und sofort für alle Versionen wirksam.
  • OnlineInstaller: Die auf einigen Systemen doppelt aufgeführten Beta-Sprachen werden jetzt korrekt angezeigt. (#4728), Problemlösung umgesetzt auf dem Update-Server und sofort für alle Versionen wirksam.
  • nightly Builder: Bei der Erzeugung neuer Versionen aus den Entwicklerzweigen wurden nicht alle Änderungen berücksichtigt (#4696), umgesetzt auf dem Update-Server und sofort für alle Versionen wirksam.

Dokumentation

  • Die bisher völlig fehlende Dokumentation zum <we:formfield>-Tag wurde in der Online Dokumentation erstellt. (#4798).

Websites

  • qa.webedition.org: Die Standardsprache ist jetzt wieder Deutsch (#4640).
  • qa.webedition.org: Das webEdition-Logo erscheint wieder (#4602).

powered by webEdition CMS