Willkommen, Gast ( Anmelden | Registrierung )     [ Hilfe | Mitglieder | Suche ]

 
Reply to this topicStart new topic
> Probleme mit PHP 5.2.6 bei Sefrengo 1.4.0, PHP-Sicherheitsupdate legt Sefrengo lahm
QMS
Beitrag Thu. 8. May 2008, 00:11
Beitrag #1


Newbie
*

Gruppe: Members
Beiträge: 6
Mitglied seit: 12.06.2007
Mitglieds-Nr.: 951



Nach dem Sicherheitsupdate meines Providers auf PHP 5.2.6 erschienen bei zwei Sefrengoinstallationen die Seiten ganz leer (sowohl Frontend, wie auch Login zum Backend); bei einer weiteren Version gab es Fehlermeldungen mit "Fatal Error ... not found".

Grund sind Dateiaufrufe mit "include" oder "include_once" aus verschiedenen php-Dateien in Backend-Ordnern. Es wirkt auf mich so, als ob die neue PHP-Version nur ein include von Dateien im gleichen Verzeichnis oder einem mit Pfadangabe bestimmten Unterverzeichnis zulässt.

Mein Provider schreibt dazu:
"In der Datei /html/cms/backend/API/DATABASEclass.SF_DATABASE_Ado.php wird in Zeile 43 definitv die falsche Konfigurationsdatei aufgerufen. Es wird hierzu include (.) benutzt.
Das bedeutet, dass sich die Datei im selben Verzeichnis befinden muss.
Ein kurzes 'Googlen' ergab, dass wohl einige Leute Ihre Homepages bei großen Providern wegen des selben Problems seit kurzem nicht nutzen können. Bei uns sind Sie der einzige Kunde mit diesem Problem. Es könnte sein, dass neue PHP Versionen (Sicherheitsupdates) diese Art der Programmierung aus Sicherheitsgründen verweigern."


Ich hoffe auf eine saubere Lösung beim nächten Update von Sefrengo (!) und habe mir einstweilen mit etwas Pfusch geholfen: Pfade angepasst, wenn möglich, und ansonsten die fehlerhaft aufgerufenen Dateien in das Verzeichnis von wo aus der Aufruf erfolgt kopiert - läuft alles wieder mit Ausnahme der Benutzerverwaltung.

Für einen funktionsfähigen Aufruf der Benutzerverwaltung im Backend (Problem: Aufruf von Pager.php und Sliding.php) wäre ich für einen Tipp dankbar.

Danke und Grüße!



----------------------------------------------
Hier ein paar Beispiele der Fehlermeldungen:

frontend:
Warning: SF_DATABASE_Ado::include_once(adodb.inc.php): failed to open stream: No such file or directory in /backend/API/DATABASE/class.SF_DATABASE_Ado.php on line 43 Warning: SF_DATABASE_Ado::include_once(): Failed opening 'adodb.inc.php' for inclusion (include_path='.') in /backend/API/DATABASE/class.SF_DATABASE_Ado.php on line 43 Fatal error: Call to undefined function ADONewConnection() in /backend/API/DATABASE/class.SF_DATABASE_Ado.php on line 44

backend/main.php
Warning: include_once(HTML/Template/IT.php): failed to open stream: No such file or directory in /backend/main.php on line 72 Warning: include_once(): Failed opening 'HTML/Template/IT.php' for inclusion (include_path='.') in /backend/main.php on line 72 Fatal error: Class 'HTML_Template_IT' not found in /srv/www/htdocs/web159/html/backend/main.php on line 104
[und die von der IT.php aufgerufenen PEAR.php!]

Benutzerverwaltung backend/main.php?area=user
Warning: SF_GUI_Pager::include_once(Pager/Pager.php): failed to open stream: No such file or directory in /backend/API/GUI/class.SF_GUI_Pager.php on line 30 Warning: SF_GUI_Pager::include_once(): Failed opening 'Pager/Pager.php' for inclusion (include_path='.') in /backend/API/GUI/class.SF_GUI_Pager.php on line 30 Fatal error: Class 'Pager' not found in /backend/API/GUI/class.SF_GUI_Pager.php on line 95
[und die vom Pager.php aufgerufene Sliding.php!]
Go to the top of the page
 
+Quote Post
bjoern
Beitrag Thu. 8. May 2008, 09:26
Beitrag #2


Administrator
********

Gruppe: Members
Beiträge: 1.092
Mitglied seit: 16.06.2006
Wohnort: Köln
Mitglieds-Nr.: 1



Der Provider verbietet den Includepath von der Anwendung aus anzupassen. Das ist eine Konfigurationsoption. Diese Option ist eine Basis von Sefrengo, auch das sehr bekannte PEAR Framework nutzt diese Technik als Basis. Sollte dies das Problem sein, wird es kein Bugfix dafür geben, weil es kein Bug ist.

Kannst Du mir bitte sagen, welcher Provider das ist.


--------------------
Es wird, es wird...
Go to the top of the page
 
+Quote Post
QMS
Beitrag Sat. 10. May 2008, 00:18
Beitrag #3


Newbie
*

Gruppe: Members
Beiträge: 6
Mitglied seit: 12.06.2007
Mitglieds-Nr.: 951



Der Provider ist netroom.de und hat mir mitgeteilt:
"Das Einzige was vorgenommen wurde war ein Update auf PHP 5.2.6 (Suse 10.2 PHP Update)"

Also wohl keine Konfigurationsänderung: Die Seiten (3 Domains, 3 Sefrengo-Installationen) liefen vor dem PHP-Update einwandfrei, also mit funktionsfähiger Includepath-Anpassung.
Go to the top of the page
 
+Quote Post
bjoern
Beitrag Sat. 10. May 2008, 11:09
Beitrag #4


Administrator
********

Gruppe: Members
Beiträge: 1.092
Mitglied seit: 16.06.2006
Wohnort: Köln
Mitglieds-Nr.: 1



Fällt mir schwer das zu glauben. Dein Provider soll Dir bitte mal erklären, wie es zu (include_path='.') kommt. Da muss zumindest der include_path zum PEAR und zur AdoDb drin stehen, diese werden von Sefrengo mit ini_set gesetzt. Die können nicht einfach weg sein, sind sie aber definitiv, sonst würde das nicht in der Fehlermeldung stehen.

SUSE Update ist dann auch immer so eine Sache, erfahrungsgemäß macht der Updater so einiges, wo den ein oder anderen Sysadmin schon die Haare zu Berge standen. ... smile.gif

Noch einmal: Kannst Du mir bitte sagen, welcher Provider das ist.


--------------------
Es wird, es wird...
Go to the top of the page
 
+Quote Post
Aki
Beitrag Sat. 10. May 2008, 23:23
Beitrag #5


Member
**

Gruppe: Members
Beiträge: 27
Mitglied seit: 27.06.2006
Mitglieds-Nr.: 10



netroom.de ist der Provider steht da doch... tongue.gif

aber das kommt mir irgendwie bekannt vor.

Kannst du mir oder bjoern einen Link zu ner PHPinfo geben ?
(Am besten PM)
Dann könnte ich dir mehr sagen.
Achja und mit was Administrierst du den Webspace ?
Sowas wie Plesk oder Confixx ?

Der Beitrag wurde von Aki bearbeitet: Sat. 10. May 2008, 23:29


--------------------
Warum gibt es für Informatiker grundsätzlich
keinen Unterschied zwischen Helloween und
Weihnachten?

OKT 31 = DEZ 25
Go to the top of the page
 
+Quote Post
bjoern
Beitrag Sun. 11. May 2008, 22:59
Beitrag #6


Administrator
********

Gruppe: Members
Beiträge: 1.092
Mitglied seit: 16.06.2006
Wohnort: Köln
Mitglieds-Nr.: 1



Ojeh, wo hab ich meine Brille smile.gif unsure.gif


--------------------
Es wird, es wird...
Go to the top of the page
 
+Quote Post
QMS
Beitrag Mon. 12. May 2008, 09:39
Beitrag #7


Newbie
*

Gruppe: Members
Beiträge: 6
Mitglied seit: 12.06.2007
Mitglieds-Nr.: 951



ZITAT(Aki @ Sun. 11. May 2008, 00:23) *
Kannst du mir oder bjoern einen Link zu ner PHPinfo geben ?
(Am besten PM)


Was meinst du mit "Am besten PM" ? unsure.gif

PHPinfo liegt jetzt unter:
Die Pfade in den Fehlermeldungen im ersten Beitrag hatte ich auf den eigentlichen Webspace gekürzt.
Administration ist mit Confixx.
Go to the top of the page
 
+Quote Post
smail
Beitrag Mon. 12. May 2008, 09:42
Beitrag #8


Advanced Member
********

Gruppe: AdvancedMembers
Beiträge: 587
Mitglied seit: 01.07.2006
Mitglieds-Nr.: 62



ZITAT
Was meinst du mit "Am besten PM" ?


PM = private Message wink.gif

Hier im Forum geht das, wenn Du auf den Namen eines Mitglieds klickst und dort die Option "Nachricht senden" auswählst.

Gruß
Jan



--------------------
Zufall ist das Pseudonym, das Gott sich zugelegt hat, wenn er unerkannt bleiben möchte.
Go to the top of the page
 
+Quote Post
Aki
Beitrag Mon. 12. May 2008, 21:34
Beitrag #9


Member
**

Gruppe: Members
Beiträge: 27
Mitglied seit: 27.06.2006
Mitglieds-Nr.: 10



ZITAT(QMS @ Mon. 12. May 2008, 10:39) *
Was meinst du mit "Am besten PM" ? unsure.gif

PHPinfo liegt jetzt unter: Die Pfade in den Fehlermeldungen im ersten Beitrag hatte ich auf den eigentlichen Webspace gekürzt.
Administration ist mit Confixx.


http://www.pulpmillwatch.org
http://www.derkleiber.de
Die funzen doch beide ?

Ausserdem sind das 2 verschiedene PHP Versionen
einmal 5.2.5 und einmal 5.2.6

Ansonsten könnte díeser Link dein Freund sein
PHP BUG
oder der
php bug kurzform

Der Beitrag wurde von Aki bearbeitet: Mon. 12. May 2008, 21:42


--------------------
Warum gibt es für Informatiker grundsätzlich
keinen Unterschied zwischen Helloween und
Weihnachten?

OKT 31 = DEZ 25
Go to the top of the page
 
+Quote Post
Guest_bkm_*
Beitrag Mon. 12. May 2008, 21:44
Beitrag #10





Guests






ZITAT(Aki @ Mon. 12. May 2008, 22:34) *
Ansonsten könnte díeser Link dein Freund sein
PHP BUG

ist der nicht gefixt
Fixed bug #43677 (Inconsistent behaviour of include_path set with php_value)
was ja der ausgangspunkt des postes war
ZITAT(QMS @ Thu. 8. May 2008, 01:11) *
Nach dem Sicherheitsupdate meines Providers auf PHP 5.2.6 erschienen bei zwei Sefrengoinstallationen
Go to the top of the page
 
+Quote Post
Aki
Beitrag Mon. 12. May 2008, 21:55
Beitrag #11


Member
**

Gruppe: Members
Beiträge: 27
Mitglied seit: 27.06.2006
Mitglieds-Nr.: 10



ZITAT(Aki @ Mon. 12. May 2008, 22:34) *
http://www.pulpmillwatch.org
http://www.derkleiber.de
Die funzen doch beide ?

Ausserdem sind das 2 verschiedene PHP Versionen
einmal 5.2.5 und einmal 5.2.6


Achja ich vergass zu erwähnen das das alles
sehr merkwürdig ist und irgendwie was nicht passt. wink.gif

Der Beitrag wurde von Aki bearbeitet: Mon. 12. May 2008, 21:56


--------------------
Warum gibt es für Informatiker grundsätzlich
keinen Unterschied zwischen Helloween und
Weihnachten?

OKT 31 = DEZ 25
Go to the top of the page
 
+Quote Post
QMS
Beitrag Mon. 12. May 2008, 23:10
Beitrag #12


Newbie
*

Gruppe: Members
Beiträge: 6
Mitglied seit: 12.06.2007
Mitglieds-Nr.: 951



ZITAT(Aki @ Mon. 12. May 2008, 22:34) *
Die funzen doch beide ?



Die funzen nur provisorisch wieder, wie ich im ersten post schrieb:
ZITAT
... und habe mir einstweilen mit etwas Pfusch geholfen: Pfade angepasst, wenn möglich, und ansonsten die fehlerhaft aufgerufenen Dateien in das Verzeichnis von wo aus der Aufruf erfolgt kopiert - läuft alles wieder mit Ausnahme der Benutzerverwaltung.

Das will heißen, dass ich die Dateien die mit (include_path='.') nicht gefunden werden in jenen Ordner kopiert habe, aus dem sie aufgerufen werden. Ist ja keine dauerhaft sinnvolle und sichere Lösung, aber ich wusste mir nicht anders zu helfen, um die Seiten wieder online zu bringen. Für die Benutzerverwaltung im Backend (siehe 3. Fehlermeldung im ersten post) geht dieser Weg nicht, da der Aufruf des Pagers so eine Art Schleife mit Suche in immer weiteren Unterverzeichnissen bildet - mir fehlen da die PHP-Kenntnisse um das provisorisch lösen und es wäre j ohnehin besser, an der Ursache anzusetzen.

Wer da im Detail reinschauen (und helfen) will, kann mir gerne mal seine Telefonnummer persönlich senden und dann die FTP- und sonstigen Passwörter erhalten.

Der Hinweis mit der 2 verschiedenen PHP Versionen liefert noch eine eigenartige Spur.
pulpmillwatch.de liegt auf Server 005.netroom.de mit PHP Version 5.2.6 und zeigte die Fehlermeldungen an, als das Problem auftrat,
während derkleiber.de und das passwortgeschützte naturschutzstiftung-papilio.de auf Server 007.netroom.de mit PHP Version 5.2.5 liegen und bis zu meinem provisorischen Hilfsmaßnahmen nur komplett leere Seiten ohne jede Fehlermeldung anzeigten (sowohl im Frontend wie im Backend).
Das bedeutet jetzt doch irgendwie dass das PHP-Update nicht unmittelbar mit dem Problem zu tun hat aber irgendwie doch???
Go to the top of the page
 
+Quote Post
Guest_bkm_*
Beitrag Tue. 13. May 2008, 01:18
Beitrag #13





Guests






du kannst nicht dateien, weil sie per include nicht zur verfügung (z.B. pear) stehen einfach in andere verzeichnisse kopieren.

fakt ist doch das php 5.2.6 und sf laufen
a ) sieht man an hier schon geposteten phpinfos von usern
b ) habe ich am laufen

am besten du erstellst ne frische sf installation (ohne deine änderungen) und gibst jemand deine zugangsdaten.
bringt bestimmt mehr als das ratespiel hier.
Go to the top of the page
 
+Quote Post
gunwalt
Beitrag Tue. 10. March 2009, 19:42
Beitrag #14


Advanced Member
********

Gruppe: AdvancedMembers
Beiträge: 1.119
Mitglied seit: 27.06.2006
Wohnort: Erkrath
Mitglieds-Nr.: 7



ZITAT(bjoern @ Sat. 10. May 2008, 11:09) *
Fällt mir schwer das zu glauben. Dein Provider soll Dir bitte mal erklären, wie es zu (include_path='.') kommt. Da muss zumindest der include_path zum PEAR und zur AdoDb drin stehen, diese werden von Sefrengo mit ini_set gesetzt. Die können nicht einfach weg sein, sind sie aber definitiv, sonst würde das nicht in der Fehlermeldung stehen.



@björn: du hattest nach einer Stellungnahme gefragt
ZITAT
der include_path ist seit PHP 5.1.x aus Sicherheitsgründen "."
Es können keine Dateien aus anderen Verzeichnissen includiert werden.

PEAR können Sie bei uns auch nicht nutzen, da PEAR das /tmp Verzeichniss nutzen möchte.
Aus Sicherheitsgründen lassen wir nicht einfach alle Kunden auf ein Verzeichniss zugreifen.

Somit wird Ihr Script bei uns nicht laufen.

Mit anderen CMS wie Joomla gibt es bei uns keinerlei Probleme.


Es leuchtet ein, das das vielleicht der Preis eines Billigtarifes ist. sad.gif


--------------------
Gruss gunwalt

------
Es grüßt der Pott, Heimat Opel
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



RSS Vereinfachte Darstellung Aktuelles Datum: 1.9.14 - 08:25

Sefrengo ist ein eingetragenes Markenzeichen und urheberrechtlich geschützt.
Copyright 2009 Design & Daten, Alle Rechte vorbehalten.