Guest Alexander Ebert Posted April 23, 2023 Posted April 23, 2023 Wir haben soeben Updates für unsere Produkte freigegeben: WoltLab Suite 5.5.11 WoltLab Suite 5.4.27 WoltLab Suite 5.3.28 Stabilitäts- und Fehlerbehebungsversionen (die 3. Stelle der Versionsnummer, auch als „patch releases“ bekannt), beseitigen ausschließlich Fehler in der aktuellen Version und führen keine neuen Funktionen ein. Es wird ausdrücklich empfohlen, diese Updates anzuwenden. [HEADING=1]Sicherheitshinweis[/HEADING] Auf Grund der zuvor von uns entdeckten Abweichungen bei der Überprüfung von Berechtigungen bei der Verwaltung von Artikeln haben wir weitergehende Tests durchgeführt. Dabei wurde entdeckt, dass Artikel über die Mehrfachauswahl in beliebige Kategorien verschoben werden konnten. Einem berechtigten Moderator oder Administrator war es damit über eine manipulierte Anfrage an den Server möglich, Artikeln, auf die der Nutzer keinen Zugriff hatte, in Kategorien zu verschieben, auf die dieser Zugriff hat. Wir schätzen die Schwere dieses Fehlers als geringfügig ein, allerdings handelt es sich um einen Fehler bei der Berechtigungsprüfung und wird daher von uns grundsätzlich als Sicherheitsproblem eingestuft. In einem anderen Fall ist uns wir bei der Prüfung einer vorgeschlagenen Änderung am Programmcode aufgefallen, dass die Implementierung von StringUtil.unescapeHTML() Daten in der falschen Reihenfolge dekodiert. Dies kann dazu führen, dass eine Zeichenkette erzeugt wird, die nicht der ursprünglichen Version entspricht. Die fehlerhafte Verarbeitung stellt keine direkte Gefahr dar, jedoch kann die fehlerhaft erzeugte Zeichenkette möglicherweise bei einer Weiterverarbeitung zu einem fehlerhaften Verhalten führen. Die korrekte (De-)Kodierung von HTML ist von elementarer Bedeutung, weshalb wir diesen Fehler ebenfalls als Sicherheitsproblem einstufen. Wir haben Aktualisierungen der mitgelieferten Bibliotheken „guzzlehttp/psr7“ und „laminas/laminas-diactoros“ eingepflegt, die einen Fehler bei der Prüfung von HTTP-Header korrigieren. Es handelt sich jeweils um einen so genannten „backport“, bei dem wir aus Kompatibilitätsgründen Korrekturen in einen älteren Stand der Bibliotheken eingepflegt haben. Alle Installationen von WoltLab Cloud-Kunden wurden bereits aktualisiert. [HEADING=1]Aktualisierung einer bestehenden Installation[/HEADING] Öffnen Sie die Administrationsoberfläche und rufen Sie den Menüpunkt „Konfiguration → Pakete → Pakete auflisten“ auf. Klicken Sie dann auf den Button „Updates suchen“, diesen finden Sie rechts oberhalb der Paketauflistung. [HEADING=1]Bedeutende Änderungen[/HEADING] Bitte beachten Sie, dass die unten stehende Liste nur die wichtigsten Änderungen enthält. Kleinere Korrekturen (u.a. Tippfehler) werden nicht separat aufgeführt. [HEADING=2]WoltLab Suite Calendar[/HEADING] Die Einstellung, dass eine Teilnahme nur nach Einladung möglich ist, kann jetzt auch bei bestehenden Terminen verändert werden. 5.5 Bei Verwendung von einem 32-Bit-PHP steht die Monatsansicht und Wochenansicht der Termine in Dezember 2037 nicht mehr zur Verfügung, da der Folgemonat Januar 2038 mit 32-Bit-Timestamps nicht mehr vollständig darstellbar ist. 5.5 [HEADING=2]WoltLab Suite Filebase[/HEADING] Ein Darstellungsfehler im sogenannten Popover für Dateien wurde korrigiert. 5.5 [HEADING=2]WoltLab Suite Core: Exporter[/HEADING] WoltLab Suite Forum 4.x/5.x Ein Fehler beim Import von Kategorien mit leerer Beschreibung wurde korrigiert. 5.5 [HEADING=2]WoltLab Suite Core: Verwarnungen[/HEADING] Der Text einer vordefinierten Verwarnung wird jetzt auch dann ordnungsgemäß ausgefüllt, wenn der entsprechende Moderator keine Berechtigung hat, individuelle Verwarnungen auszusprechen. 5.5 [HEADING=2]WoltLab Suite Core[/HEADING] (SICHERHEIT) Ein Fehler bei der Prüfung der Berechtigung bei der Neuzuweisung von Kategorien eines Artikels durch Moderatoren oder Administratoren wurde behoben. 5.5 5.4 5.3 (SICHERHEIT) Ein Fehler bei der Reihenfolge der Dekodierung von HTML in StringUtil.unescapeHTML() wurde behoben. 5.5 5.4 5.3 (SICHERHEIT) Korrektur in der externen „guzzlehttp/psr7“-Bibliothek. 5.5 5.4 5.3 (SICHERHEIT) Korrektur in der externen „laminas/laminas-diactoros“-Bibliothek. 5.5 Es wurden diverse Korrekturen ohne Sicherheitsrelevanz an den Berechtigungsprüfungen des Artikelsystems vorgenommen. Insbesondere ist die Berechtigung zum Verwalten eigener Artikel jetzt ohne Einschränkungen benutzbar. 5.5 Ein Fehler wurde behoben, durch den Texte mit bestimmten HTML-Elementen nicht korrekt in den Suchindex aufgenommen wurden. 5.5 Das Editieren von mehrsprachigen Inhalten mit dem '-Zeichen funktioniert jetzt korrekt. 5.5 Die Verwendung von Erwähnungen in der Administrationsoberfläche führt nicht mehr zu einem Fehler. 5.5 Der Import von Stilen im Rahmen einer Paketinstallation kompiliert das SCSS nicht mehr, da zum Abschluss der Paketinstallation ohnehin der Cache geleert und das kompilierte CSS verworfen wird. 5.5 Für Entwickler: StringUtil::trim() kann jetzt nicht-UTF-8-Eingaben ohne Fehlermeldung verarbeiten. Das Ergebnis ist aber explizit undefiniert. 5.5 Für Entwickler: |is_string ist jetzt ein zulässiger Template-Modifier. 5.5 Für Entwicker: Checkbox-basierte FormBuilder-Felder funktionieren jetzt auch über AJAX korrekt. 5.5 Für Entwickler: Es gibt ein articleLikeButtons-Template-Event in article. 5.5 Continue reading... Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.