Eilmeldung:
Heute wurde ein ernsthafter Sicherheitsfehler im FCKeditor gemeldet. Ohne weiter ins Detail zu gehen - durch den Fehler kann das gesamte System kompromitiert werden.
Daher solltet ihr so schnell wie möglich auf Version 0.12.2 aktualisieren !
Für ein schnelles Update steht ein entsprechendes Diff-Package zum Download bereit. Wer es so richtig schnell will, der lädt sich hier
http://svn.cmsmadesimple.org/svn/cmsmad ... ctors/php/
die Datei connector.php runter und ersetzt damit diese Datei
modules/FCKeditorX/FCKeditor/editor/filemanager/browser/default/connectors/php/connector.php
Um das Problem zu beheben, wurde gleichfalls die Version 0.13beta4 veröffentlicht.
Security-Update 0.12.2 - WICHTIG !!!
-
m266
Re: Security-Update 0.12.2 - WICHTIG !!!
Wichtiger Hinweis!
Hi Cyberman,
ich habe im Zusammenhang mit dem Beitrag Danyduck (Pfaddreher http://forum.cmsmadesimple.org/index.ph ... 567.0.html) meine Sites überprüft und mit Erschrecken festgestellt, dass ich mit dem FCKEditor keine Bilder mehr einfügen kann, da die Dateien/Ordner bei der Auswahl nicht mehr angezeigt werden. Dieser Fehler trat bei folgenden Versionen auf bzw. nicht auf:
CMS FCKEditor Status
0.13 beta2 1.0 RC1 OK
0.12.2 " Fehler
0.12 " OK
Die Sites mit 0.12.2 waren zuvor mit dem Diff-File von 0.12.1 auf 0.12.2 angehoben worden.
Ich habe den Versionssprung manuell rückgängig gemacht, indem ich die Datei im Editor (connector.php) und die version.php auf den Stand von 0.12.1 zurückgesetzt habe. Danach konnte ich wie bisher wieder meine Bilder auswählen und verlinken.
Ich kann nicht sagen, ob der Fehler nur beim Versionssprung von 0.12.1 zu 0.12.2 auftritt und habe zurzeit auch keine Neuinstallation von 0.12.2 am laufen. Meine Feststellung habe ich an mehreren Sites verifiziert und drei fehlerhafte Installationen wieder auf Version 0.12.1 zurückgesetzt.
Bitte überprüfe meine Angaben und gebe ggf. einen entsprechenden Hinweis im Forum heraus.
Gruß m266
Hi Cyberman,
ich habe im Zusammenhang mit dem Beitrag Danyduck (Pfaddreher http://forum.cmsmadesimple.org/index.ph ... 567.0.html) meine Sites überprüft und mit Erschrecken festgestellt, dass ich mit dem FCKEditor keine Bilder mehr einfügen kann, da die Dateien/Ordner bei der Auswahl nicht mehr angezeigt werden. Dieser Fehler trat bei folgenden Versionen auf bzw. nicht auf:
CMS FCKEditor Status
0.13 beta2 1.0 RC1 OK
0.12.2 " Fehler
0.12 " OK
Die Sites mit 0.12.2 waren zuvor mit dem Diff-File von 0.12.1 auf 0.12.2 angehoben worden.
Ich habe den Versionssprung manuell rückgängig gemacht, indem ich die Datei im Editor (connector.php) und die version.php auf den Stand von 0.12.1 zurückgesetzt habe. Danach konnte ich wie bisher wieder meine Bilder auswählen und verlinken.
Ich kann nicht sagen, ob der Fehler nur beim Versionssprung von 0.12.1 zu 0.12.2 auftritt und habe zurzeit auch keine Neuinstallation von 0.12.2 am laufen. Meine Feststellung habe ich an mehreren Sites verifiziert und drei fehlerhafte Installationen wieder auf Version 0.12.1 zurückgesetzt.
Bitte überprüfe meine Angaben und gebe ggf. einen entsprechenden Hinweis im Forum heraus.
Gruß m266
Last edited by m266 on Sat May 20, 2006 6:50 am, edited 1 time in total.
-
faglork
Re: Security-Update 0.12.2 - WICHTIG !!!
Nur als Ergänzung: Ich habe gestern eine 12.2 frisch installiert, da tritt der Fehler offenbar nicht auf. Muss wohl in der diff sein.
faglork
faglork
-
cyberman
Re: Security-Update 0.12.2 - WICHTIG !!!
@m266:
Kannst du mal den FCK komplett deinstallieren / löschen und anstatt dessen die FCK-Version aus der aktuellen 0.13 installieren? Evtl. auch mal die (relevanten) Cookies löschen?
PS: Ich verwende nur TinyMCE
...
Kannst du mal den FCK komplett deinstallieren / löschen und anstatt dessen die FCK-Version aus der aktuellen 0.13 installieren? Evtl. auch mal die (relevanten) Cookies löschen?
PS: Ich verwende nur TinyMCE
...
Last edited by cyberman on Fri May 19, 2006 11:23 am, edited 1 time in total.
-
cyberman
Re: Security-Update 0.12.2 - WICHTIG !!!
Sehr seltsam - es wurde nur die connector.php ausgetauschtfaglork wrote: Muss wohl in der diff sein.
...-
m266
Re: Security-Update 0.12.2 - WICHTIG !!!
Hallo,
ich habe den FCKEditor deinstalliert und die Version von 0.13 aufgespielt. Geht!
Danach alle Caches, Cookies und den Verlauf gelöscht und wieder die von mir vermutete fehlerhafte Datei connect.php reinkopiert: Geht noch immer.
Im nachhinein betrachtet trat dieser Effekt, der mich total verunsichert hat, nach einem Upgrade von 0.12.1 auf 0.12.2 ohne Löschung von Cache, Cookies, Verlauf auf. Da muss man erst mal draufkommen.
Cybermann, ich ziehe mal den nicht vorhandenen Hut vor dem Meister
Sorry, wenn es etwas Unruhe gab. Ich hielt meine (nun falsche) Erkenntnis für wichtig und habe sie deshalb publiziert.
Werde mich nun an die lang erwartete 0.13 machen und hoffen, dass sie läuft.
Gruß m266
ich habe den FCKEditor deinstalliert und die Version von 0.13 aufgespielt. Geht!
Danach alle Caches, Cookies und den Verlauf gelöscht und wieder die von mir vermutete fehlerhafte Datei connect.php reinkopiert: Geht noch immer.
Im nachhinein betrachtet trat dieser Effekt, der mich total verunsichert hat, nach einem Upgrade von 0.12.1 auf 0.12.2 ohne Löschung von Cache, Cookies, Verlauf auf. Da muss man erst mal draufkommen.
Cybermann, ich ziehe mal den nicht vorhandenen Hut vor dem Meister
Sorry, wenn es etwas Unruhe gab. Ich hielt meine (nun falsche) Erkenntnis für wichtig und habe sie deshalb publiziert.
Werde mich nun an die lang erwartete 0.13 machen und hoffen, dass sie läuft.
Gruß m266
-
cyberman
Re: Security-Update 0.12.2 - WICHTIG !!!
Auch wenn die 0.13er FCK-Version nix neues sagt - es wurden darin Veränderungen vorgenommen. Ein richtiges Update des Moduls wird es jedoch erst mit dem original FCK-Editor 2.3 geben.m266 wrote: ich habe den FCKEditor deinstalliert und die Version von 0.13 aufgespielt. Geht!
Danach alle Caches, Cookies und den Verlauf gelöscht und wieder die von mir vermutete fehlerhafte Datei connect.php reinkopiert: Geht noch immer.
Nix Meister, ich les halt nur (fast) das ganze Forum - o.k., ein kleines bißchen Erfahrung ist auch dabeiich ziehe mal den nicht vorhandenen Hut vor dem Meister
.Besten Dank dafür - besser so, als wenn es eine fehlerhafte Stable gegeben hätte ...Sorry, wenn es etwas Unruhe gab. Ich hielt meine (nun falsche) Erkenntnis für wichtig und habe sie deshalb publiziert.
