Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Sefrengo v1.6.3
Forum Sefrengo.org > Downloads > Releases
mvsxyz
Sefrengo v1.6.3

Dokumente
Die Installation - Sefrengo auf einem Webserver oder einer lokalen Trainigsumgebung installieren
Update einer Sefrengo Installation - Ein ausführlicher Updateleitfaden
FAQ - Installation
Die erste Sefrengo Seite, Schritt für Schritt - Anfängertutorial

Beim Update beachten
  • Backup der Datenbank und des Dateisystems vor dem Update nicht vergessen!
  • Updateleitfaden beachten - insbesondere das Verzeichnis projektXX/cms/fckeditor muss gegen den neuen projektXX/cms/ckeditor ersetzt werden.


Changelog - Änderungen v1.6.2 zu v1.6.3
QUELLTEXT
See full changelog at <https://github.com/sefrengo-cms/sefrengo-1.x/commits/v1.6.3>

Commits are contributed by @screengarden (sidd)
* FIXED: Language-Fix for Sortable Css/JS
* FIXED: SQL-Injection-Fix
* FIXED: XSS-FIX
* FIXED: PNG-Alpha Fix
* FIXED: SQL-Injections & XSS fixes laut Protokoll
bkm
Gibt noch einen Fehler beim Fix des Einbinden von inc/inc.$area.php, irgendwie greift preg_replace() nicht immer. So kommt dann logisch Stop. Maybe XSS? zurück.
sun.go
Bei mir gabs bei 2 Projekten von 1.6.0 auf 1.6.3 bisher keine Probleme
bkm
Bei tpl_edit gibt es einen Fehler
mvsxyz
An alle: Bitte bei einem Fehler-Posting gleich ein paar Angaben, wie Beispiel oder Schritte zum Nachstellen machen. Dann wird die Kommunikation für alle einfacher. Danke.

Hier eine vorübergehende Lösung:

main.php, line 212:
QUELLTEXT
if(@!include("inc/inc.".preg_replace('/[^a-zA-Z0-9 -]/','',$area).".php")){
die("Stop. Maybe XSS?");
};


Der preg_replace muss wie folgt heißen:
QUELLTEXT
'/[^a-zA-Z0-9 -_]/'

Also einfach den Unterstrich mit einfügen.

Gibt es eigentlich areas die ein Leerzeichen haben? Ansonsten können wir das aus dem RegEx herausnehmen.
sun.go
in /backend/main.php Linie 212 steht bei mir was ganz anderes.

Welche main.php ist gemeint?
bkm
ZITAT(sun.go @ Thu. 5. February 2015, 14:40) *
in /backend/main.php Linie 212 steht bei mir was ganz anderes.

Welche main.php ist gemeint?

Github
sun.go
Kann / sollte ich DIESE nehmen um meine zu ersetzen?
sidd
@sun.go in der 1.9.x brauchst du diese nicht... guck mal in dein mailpostfach!
sun.go
ZITAT(sidd @ Thu. 5. February 2015, 17:21) *
@sun.go in der 1.9.x brauchst du diese nicht... guck mal in dein mailpostfach!


Ja, das habe ich gesehen und bin sehr froh ;-)

Aber die restlichen 1.6.x Installationen von mir?

Warum ist die GIT Version nicht in dem 1.6.3 Update?
bkm
ZITAT(sidd @ Thu. 5. February 2015, 17:21) *
@sun.go in der 1.9.x brauchst du diese nicht... guck mal in dein mailpostfach!

Ah jetzt verstehe ich es erst hier gehts um den Nachfolger von SF, der am Ende keiner war wink.gif (fande den Ansatz trotzdem besser, schade das es wieder zu sf 1.xx ging)
Trotz allem ist dort nicht alles Neu erfunden worden und wenn jetzt Fehler öffentlich gemacht wurden sind, es schon ein Risiko @sun.go vielleicht doch den Schritt zurück gehen solange Holger hier aktiv ist.
oberbilker
hallo zusammen,

habe auch schon ein paar projekte problemlos umgestellt.
bei einer umstellung von 1.4.5 > 1.6.3 habe ich zwei Fehlermeldungen.

1.) nach login im backend (einmalig, bei weiteren aufrufen unterseiten nicht mehr)
Warning: Illegal string offset 'db_cache_enabled' in C:\xampp\htdocs\projekt\backend\API\UTILS\class.SF_UTILS_DbCache.php on line 15
QUELLTEXT
$this->is_active = ( $cfg_client['db_cache_enabled'] != '0' && $cfg_cms['db_cache_enabled'] == '1' )


2.) aufruf seite im backend
Parse error: syntax error, unexpected '<' in C:\xampp\htdocs\projekt\cms\inc\backend.php(157) : eval()'d code on line 1803
QUELLTEXT
eval('?>'.$code);


beide fehlermeldungen kann ich mir nicht erklären, da bei den vorigen upgrades auch keine probleme herrschten.

hat jemand eine idee? danke

gruss, oberbilker
sidd
Hallo oberbilker,

zu 1: diese telle wurde seid 1.4.5 nicht geändert, es liegt also irgendwo anders der hase begraben wink.gif generell ist es immer gut zu wissen, womit man es zu tun hat, deswegen bitte immer php/mysql-versionen des laufenden servers benennen. für deinen fall sollte es vorerst reichen, in deine config folgendes zu schreiben :

QUELLTEXT
ini_set("display_errors","off");

somit sollte das "warning" nicht mehr ausgegeben werden.
es ist auch für die zukunft besser, fehler zu unterdrücken um hackern nicht die möglichkeit zu geben, durch fehlermeldungen schwachstellen zu finden.

zu2: tippe ich auf einen fehler in einem modul sad.gif aber dies ist so nicht zu ergründen.
bkm
ZITAT(oberbilker @ Fri. 6. February 2015, 14:21) *
2.) aufruf seite im backend
Parse error: syntax error, unexpected '<' in C:\xampp\htdocs\projekt\cms\inc\backend.php(157) : eval()'d code on line 1803
QUELLTEXT
eval('?>'.$code);

1. Sollte sich mit Cache leeren wieder geben.
2.Wenn es auf Seitenerstellen oder Ansicht ist, kommt es meist von einer alten CFlex Version.


ZITAT(sidd @ Fri. 6. February 2015, 14:47) *
QUELLTEXT
ini_set("display_errors","off");

somit sollte das "warning" nicht mehr ausgegeben werden.
es ist auch für die zukunft besser, fehler zu unterdrücken um hackern nicht die möglichkeit zu geben, durch fehlermeldungen schwachstellen zu finden.

Oder >>sauberer<< zu Programmieren wink.gif
sidd
Du kannst dich gerne beteiligen @bkm
bkm
ZITAT(sidd @ Fri. 6. February 2015, 17:58) *
Du kannst dich gerne beteiligen @bkm

Das gabs schon einmal dry.gif UND wenn es hier mal wieder mehr zulesen gibt als nur das drumherum zur Vereinsgründung
wäre ich bestimmt wieder dabei.
sidd
Ich mag deinen Humor :-) wg. Sefrengo finde ich es eine gute Perspektive, wenn das mit dem Verein durch ist.
sun.go
Auch ich bin dabei, aber wir schweifen ab, dafür gibt es andere Treats hier.
webmasterFF
Ist die 1.6.3 jetzt stabil und alle Fehler gefixed?

Gibt es ein Final zum Download oder einfach die erste Version oben nehmen?
sidd
am wochenende kommt laut mvsxyz die neue version. da sind ein paar kleine fehlerchen mit draußen. also lieber noch einen tag warten wink.gif
webmasterFF
Super. Dann warte ich mal auf das Release.
mvsxyz
Aktueller Release ist Sefrengo v1.6.4.
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2022 Invision Power Services, Inc.