WICHTIG - sicherheitsrelevante Version 1.0.6 veröffentlicht

[cyberman]

Aufgrund der Dringlichkeit poste ich hier der Einfachheit halber einen Auszug aus den aktuellen News:

Aufgrund eines Fehlers in der stylesheet.php, die CMSms für SQL-Injektionen anfällig macht, bitten wir um Ihre volle Aufmerksamkeit. Wir waren gerade dabei, die Veröffentlichung der Version 1.0.6 vorzubereiten, als wir von diesem Fehler erfuhren. Dies hat uns bewogen, die neue Version sofort zu veröffentlichen.

Es wird dringend empfohlen, Ihre Webseiten mit CMS made simple so schnell wie möglich auf die neue Version zu aktualisieren. Ist dies aus bestimmten Gründen nicht möglich, sollten Sie unbedingt Ihre stylesheet.php im CMSms-Wurzelverzeichnis durch diese Version ersetzen.

Quelle:  http://www.cmsmadesimple.de/index.php?seite=news

[cyberman]

Bevor Fragen aufkommen - ja, diese Version ist ein reines Datei-Update. Das Ausführen einer /install/upgrade.php ist nicht erforderlich.

Bei einer Aktualisierung von Version 1.0.5 auf Version 1.0.6 müssen nur sämtliche Dateien aus dem diff-Archiv

http://dev.cmsmadesimple.org/frs/downlo ... -1.0.6.zip

drüberkopiert werden.

[cyberman]

Hier noch die erforderlichen Veränderungen der stylesheet.php für die User von CMSms 0.13

Gehe zu Zeile 65

Code: Select all

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = $templateid AND ac.assoc_css_id = c.css_id AND c.media_type = '" . mysql_real_escape_string($mediatype, $db) . "'";

und ersetze diese durch

Code: Select all

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = " . $db->qstr($templateid) . " AND ac.assoc_css_id = c.css_id AND c.media_type = '" .
mysql_real_escape_string($mediatype, $db) . "'";

Gehe dann zu Zeile 79

Code: Select all

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = $templateid AND ac.assoc_css_id = c.css_id AND c.media_type = '" . pg_escape_string($mediatype) . "'";

und ersetze diese durch

Code: Select all

$sql="SELECT c.css_text,c.css_id FROM ".$config['db_prefix']."css c,".$config['db_prefix']."css_assoc ac WHERE ac.assoc_type='template' AND ac.assoc_to_id = " . $db->qstr($templateid) . " AND ac.assoc_css_id = c.css_id AND c.media_type = '" .
pg_escape_string($mediatype) . "'";

Wie ihr vielleicht schon gesehen habt, ist der zweite Teil ab Zeile 79 nur für PostgreSQL-User interessant.

[cyberman]

Beim Update scheint Vorsicht geboten - zumindest was den mitgelieferten MenuManager 1.4 betrifft. Da scheint es Probleme zu geben ...

[cyberman]

zumindest was den mitgelieferten MenuManager 1.4 betrifft.

Der MenuManager 1.4.1 wurde veröffentlicht und soll das Problem beheben.

[groove]

Habe das Fileupdate von 1.0.5 auf 1.0.6 durchgeführt.
Das - vielleicht sichere aber nicht ganz gewünschte - Ergebniss:
Seite ist auf 1.0.6 allerdings ist das Manu verschwunden ;-(
Verwende ein adaptiertes Standard-Layout: simple top navigation mit 2 Spalten; linke Spalte hält Subnavigation.
Weiters wird FEU und Custom Content verwendet.
Menu Manager 1.4.1 ist installiert ;-(

lg und ein lautes "Hilfe"
groove

[groove]

Alarm retour
Habe den Menumanager nochmals installiert und den alten vorher komplett vom Server gelöscht --> siehe da, alles wieder da!

schönen Tag noch
groove