Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Forum Sefrengo.org _ Releases _ Sefrengo v1.6.3

Geschrieben von: mvsxyz Wed. 4. February 2015, 23:51

Sefrengo v1.6.3

Dokumente
http://wiki.sefrengo.org/handbuch/installation
http://wiki.sefrengo.org/handbuch/update
http://wiki.sefrengo.org/faq/installation
http://wiki.sefrengo.org/handbuch/schnelleinstieg-tutorial-die-erste-sefrengo-webseite-erstellen

Beim Update beachten



Changelog - Änderungen v1.6.2 zu v1.6.3
QUELLTEXT
See full changelog at <https://github.com/sefrengo-cms/sefrengo-1.x/commits/v1.6.3>

Commits are contributed by @screengarden (sidd)
* FIXED: Language-Fix for Sortable Css/JS
* FIXED: SQL-Injection-Fix
* FIXED: XSS-FIX
* FIXED: PNG-Alpha Fix
* FIXED: SQL-Injections & XSS fixes laut Protokoll


 sefrengo_1.x_1.6.3.zip ( 2.89MB ) : 3403
 

Geschrieben von: bkm Thu. 5. February 2015, 12:40

Gibt noch einen Fehler beim Fix des Einbinden von inc/inc.$area.php, irgendwie greift preg_replace() nicht immer. So kommt dann logisch Stop. Maybe XSS? zurück.

Geschrieben von: sun.go Thu. 5. February 2015, 12:47

Bei mir gabs bei 2 Projekten von 1.6.0 auf 1.6.3 bisher keine Probleme

Geschrieben von: bkm Thu. 5. February 2015, 12:57

Bei tpl_edit gibt es einen Fehler

Geschrieben von: mvsxyz Thu. 5. February 2015, 13:07

An alle: Bitte bei einem Fehler-Posting gleich ein paar Angaben, wie Beispiel oder Schritte zum Nachstellen machen. Dann wird die Kommunikation für alle einfacher. Danke.

Hier eine vorübergehende Lösung:

main.php, line 212:

QUELLTEXT
if(@!include("inc/inc.".preg_replace('/[^a-zA-Z0-9 -]/','',$area).".php")){
die("Stop. Maybe XSS?");
};


Der preg_replace muss wie folgt heißen:
QUELLTEXT
'/[^a-zA-Z0-9 -_]/'

Also einfach den Unterstrich mit einfügen.

Gibt es eigentlich areas die ein Leerzeichen haben? Ansonsten können wir das aus dem RegEx herausnehmen.

Geschrieben von: sun.go Thu. 5. February 2015, 14:40

in /backend/main.php Linie 212 steht bei mir was ganz anderes.

Welche main.php ist gemeint?

Geschrieben von: bkm Thu. 5. February 2015, 14:53

ZITAT(sun.go @ Thu. 5. February 2015, 14:40) *
in /backend/main.php Linie 212 steht bei mir was ganz anderes.

Welche main.php ist gemeint?

https://github.com/sefrengo-cms/sefrengo-1.x/blob/da0ef052971a92da2ac2a521dd8811c2de583eec/backend/main.php#L212

Geschrieben von: sun.go Thu. 5. February 2015, 17:13

Kann / sollte ich DIESE nehmen um meine zu ersetzen?

Geschrieben von: sidd Thu. 5. February 2015, 17:21

@sun.go in der 1.9.x brauchst du diese nicht... guck mal in dein mailpostfach!

Geschrieben von: sun.go Thu. 5. February 2015, 17:42

ZITAT(sidd @ Thu. 5. February 2015, 17:21) *
@sun.go in der 1.9.x brauchst du diese nicht... guck mal in dein mailpostfach!


Ja, das habe ich gesehen und bin sehr froh ;-)

Aber die restlichen 1.6.x Installationen von mir?

Warum ist die GIT Version nicht in dem 1.6.3 Update?

Geschrieben von: bkm Thu. 5. February 2015, 17:46

ZITAT(sidd @ Thu. 5. February 2015, 17:21) *
@sun.go in der 1.9.x brauchst du diese nicht... guck mal in dein mailpostfach!

Ah jetzt verstehe ich es erst hier gehts um den Nachfolger von SF, der am Ende keiner war wink.gif (fande den Ansatz trotzdem besser, schade das es wieder zu sf 1.xx ging)
Trotz allem ist dort nicht alles Neu erfunden worden und wenn jetzt Fehler öffentlich gemacht wurden sind, es schon ein Risiko @sun.go vielleicht doch den Schritt zurück gehen solange Holger hier aktiv ist.

Geschrieben von: oberbilker Fri. 6. February 2015, 14:21

hallo zusammen,

habe auch schon ein paar projekte problemlos umgestellt.
bei einer umstellung von 1.4.5 > 1.6.3 habe ich zwei Fehlermeldungen.

1.) nach login im backend (einmalig, bei weiteren aufrufen unterseiten nicht mehr)
Warning: Illegal string offset 'db_cache_enabled' in C:\xampp\htdocs\projekt\backend\API\UTILS\class.SF_UTILS_DbCache.php on line 15

QUELLTEXT
$this->is_active = ( $cfg_client['db_cache_enabled'] != '0' && $cfg_cms['db_cache_enabled'] == '1' )


2.) aufruf seite im backend
Parse error: syntax error, unexpected '<' in C:\xampp\htdocs\projekt\cms\inc\backend.php(157) : eval()'d code on line 1803
QUELLTEXT
eval('?>'.$code);


beide fehlermeldungen kann ich mir nicht erklären, da bei den vorigen upgrades auch keine probleme herrschten.

hat jemand eine idee? danke

gruss, oberbilker

Geschrieben von: sidd Fri. 6. February 2015, 14:47

Hallo oberbilker,

zu 1: diese telle wurde seid 1.4.5 nicht geändert, es liegt also irgendwo anders der hase begraben wink.gif generell ist es immer gut zu wissen, womit man es zu tun hat, deswegen bitte immer php/mysql-versionen des laufenden servers benennen. für deinen fall sollte es vorerst reichen, in deine config folgendes zu schreiben :

QUELLTEXT
ini_set("display_errors","off");

somit sollte das "warning" nicht mehr ausgegeben werden.
es ist auch für die zukunft besser, fehler zu unterdrücken um hackern nicht die möglichkeit zu geben, durch fehlermeldungen schwachstellen zu finden.

zu2: tippe ich auf einen fehler in einem modul sad.gif aber dies ist so nicht zu ergründen.

Geschrieben von: bkm Fri. 6. February 2015, 17:37

ZITAT(oberbilker @ Fri. 6. February 2015, 14:21) *
2.) aufruf seite im backend
Parse error: syntax error, unexpected '<' in C:\xampp\htdocs\projekt\cms\inc\backend.php(157) : eval()'d code on line 1803
QUELLTEXT
eval('?>'.$code);

1. Sollte sich mit Cache leeren wieder geben.
2.Wenn es auf Seitenerstellen oder Ansicht ist, kommt es meist von einer alten CFlex Version.


ZITAT(sidd @ Fri. 6. February 2015, 14:47) *
QUELLTEXT
ini_set("display_errors","off");

somit sollte das "warning" nicht mehr ausgegeben werden.
es ist auch für die zukunft besser, fehler zu unterdrücken um hackern nicht die möglichkeit zu geben, durch fehlermeldungen schwachstellen zu finden.

Oder >>sauberer<< zu Programmieren wink.gif

Geschrieben von: sidd Fri. 6. February 2015, 17:58

Du kannst dich gerne beteiligen @bkm

Geschrieben von: bkm Fri. 6. February 2015, 18:46

ZITAT(sidd @ Fri. 6. February 2015, 17:58) *
Du kannst dich gerne beteiligen @bkm

Das gabs schon einmal dry.gif UND wenn es hier mal wieder mehr zulesen gibt als nur das drumherum zur Vereinsgründung
wäre ich bestimmt wieder dabei.

Geschrieben von: sidd Fri. 6. February 2015, 20:27

Ich mag deinen Humor :-) wg. Sefrengo finde ich es eine gute Perspektive, wenn das mit dem Verein durch ist.

Geschrieben von: sun.go Sat. 7. February 2015, 09:00

Auch ich bin dabei, aber wir schweifen ab, dafür gibt es andere Treats hier.

Geschrieben von: webmasterFF Fri. 27. February 2015, 09:19

Ist die 1.6.3 jetzt stabil und alle Fehler gefixed?

Gibt es ein Final zum Download oder einfach die erste Version oben nehmen?

Geschrieben von: sidd Fri. 27. February 2015, 09:25

am wochenende kommt laut mvsxyz die neue version. da sind ein paar kleine fehlerchen mit draußen. also lieber noch einen tag warten wink.gif

Geschrieben von: webmasterFF Fri. 27. February 2015, 10:52

Super. Dann warte ich mal auf das Release.

Geschrieben von: mvsxyz Mon. 2. March 2015, 22:14

Aktueller Release ist http://forum.sefrengo.org/index.php?showtopic=3376.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)