WICHTIG - sicherheitsrelevante Version 1.0.6 veröffentlicht

cyberman · **Posted:** Wed Apr 25, 2007 7:28 am

Aufgrund der Dringlichkeit poste ich hier der Einfachheit halber einen Auszug aus den aktuellen News:

Quote:

Aufgrund eines Fehlers in der stylesheet.php, die CMSms für SQL-Injektionen anfällig macht, bitten wir um Ihre volle Aufmerksamkeit. Wir waren gerade dabei, die Veröffentlichung der Version 1.0.6 vorzubereiten, als wir von diesem Fehler erfuhren. Dies hat uns bewogen, die neue Version sofort zu veröffentlichen.

Es wird dringend empfohlen, Ihre Webseiten mit CMS made simple so schnell wie möglich auf die neue Version zu aktualisieren. Ist dies aus bestimmten Gründen nicht möglich, sollten Sie unbedingt Ihre stylesheet.php im CMSms-Wurzelverzeichnis durch diese Version ersetzen.

Quelle: http://www.cmsmadesimple.de/index.php?seite=news

cyberman · **Posted:** Wed Apr 25, 2007 7:43 am

Bevor Fragen aufkommen - ja, diese Version ist ein reines Datei-Update. Das Ausführen einer /install/upgrade.php ist nicht erforderlich.

Bei einer Aktualisierung von Version 1.0.5 auf Version 1.0.6 müssen nur sämtliche Dateien aus dem diff-Archiv

http://dev.cmsmadesimple.org/frs/downlo ... -1.0.6.zip

drüberkopiert werden.

cyberman · **Posted:** Wed Apr 25, 2007 8:08 am

Hier noch die erforderlichen Veränderungen der stylesheet.php für die User von CMSms 0.13

Gehe zu Zeile 65

Code:

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = $templateid AND ac.assoc_css_id = c.css_id AND c.media_type = '" . mysql_real_escape_string($mediatype, $db) . "'";

und ersetze diese durch

Code:

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = " . $db->qstr($templateid) . " AND ac.assoc_css_id = c.css_id AND c.media_type = '" .
mysql_real_escape_string($mediatype, $db) . "'";

Gehe dann zu Zeile 79

Code:

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = $templateid AND ac.assoc_css_id = c.css_id AND c.media_type = '" . pg_escape_string($mediatype) . "'";

und ersetze diese durch

Code:

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = " . $db->qstr($templateid) . " AND ac.assoc_css_id = c.css_id AND c.media_type = '" .
pg_escape_string($mediatype) . "'";

Wie ihr vielleicht schon gesehen habt, ist der zweite Teil ab Zeile 79 nur für PostgreSQL-User interessant.

cyberman · **Posted:** Wed Apr 25, 2007 11:06 am

Beim Update scheint Vorsicht geboten - zumindest was den mitgelieferten MenuManager 1.4 betrifft. Da scheint es Probleme zu geben ...

cyberman · **Posted:** Thu Apr 26, 2007 9:53 am

cyberman wrote:

zumindest was den mitgelieferten MenuManager 1.4 betrifft.

Der MenuManager 1.4.1 wurde veröffentlicht und soll das Problem beheben.

groove · **Posted:** Mon May 07, 2007 11:11 am

Habe das Fileupdate von 1.0.5 auf 1.0.6 durchgeführt.
Das - vielleicht sichere aber nicht ganz gewünschte - Ergebniss:
Seite ist auf 1.0.6 allerdings ist das Manu verschwunden ;-(
Verwende ein adaptiertes Standard-Layout: simple top navigation mit 2 Spalten; linke Spalte hält Subnavigation.
Weiters wird FEU und Custom Content verwendet.
Menu Manager 1.4.1 ist installiert ;-(

lg und ein lautes "Hilfe"
groove

groove · **Posted:** Mon May 07, 2007 12:35 pm

Alarm retour ;-)
Habe den Menumanager nochmals installiert und den alten vorher komplett vom Server gelöscht --> siehe da, alles wieder da!

schönen Tag noch
groove

WICHTIG - sicherheitsrelevante Version 1.0.6 veröffentlicht

Who is online