Hallo, lieber Forumbenutzer. Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen Möglichkeiten der Kommunikation ist das Forum ein wenig eingeschlafen und weniger Nutzer benutzen das Forum aktiv (trotzdem lohnt es sich evtl. hier nach Lösungen zu suchen oder seine Frage zu stellen).

Wir empfehlen, für deine Fragen/Probleme aktuell (zusätzlich) Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: http://redaxo.org/slack/
Benutzeravatar
Jan.Kristinus
Admin
Beiträge: 2165
Registriert: 24. Aug 2004, 22:11
Wohnort: Frankfurt
Kontaktdaten: ICQ Website

Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

25. Nov 2013, 11:22

REDAXO-Update 4.5.1

Wir möchten Euch heute auf das neue REDAXO-Update 4.5.1 hinweisen, mit dem wir einige Sicherheitslücken schließen.
Martin Plakinger (vielen Dank an ihn!) hat uns auf ein ernstes Sicherheitsproblem im TinyMCE-AddOn hingewiesen, durch das es möglich war, die REDAXO-Konfigurationsdatei auszulesen. Wir empfehlen daher dringend, alle Websites schnellstmöglich upzudaten, die den TinyMCE als Editor nutzen. Es sind nur Websites betroffen, die den TinyMCE-Editor installiert haben.

Daneben sind zwei kleinere Probleme bekannt geworden, mit denen es unter bestimmten Umständen möglich war, eine Session eines eingeloggten User über Cross-Site-Scripting zu übernehmen und die es eingeloggten Redakteuren ermöglichte, über das import_export-AddOn und manipulierte Dateinamen PHP-Code auf dem Server abzulegen.

Alle diese Sicherheitsprobleme haben wir mit Version 4.5.1 behoben.
http://www.redaxo.org/de/download/sicherheitshinweise/

Wir haben aber auch etliche Kleinigkeiten korrigiert und ein paar hilfreiche Neuerungen eingebaut, wie etwa im ImageManager Eckenrundungen, einen schönen Blurfilter oder einen PDF2IMG-Konverter.
Eine vollständige Liste aller Neuerungen findet Ihr hier:
https://github.com/redaxo/redaxo4/blob/ ... hanges.txt

Redaxo 4.5.1 zum Download:
http://www.redaxo.org/files/redaxo4_5_1.zip

Die aktualisierte Version nur des TinyMCE-AddOns:
http://www.redaxo.org/files/addon_tinymce-2.5.zip

WIKI-System auf der REDAXO-Website

Ein weiteres Sicherheitsproblem mussten wir durch das WIKI-System auf unserer Website redaxo.org feststellen. Durch eine nicht mehr aktuelle WIKI-Installation wurde vor einiger Zeit die Website gehackt. Die Lücke wurde schnell geschlossen, aber es ist nicht auszuschließen (obwohl wir bisher keine Hinweise finden konnten), dass es während dieser kurzen Zeit möglich war, die myRedaxo-Passwörter auszulesen. Um kein Risiko einzugehen, empfehlen wir allen Usern, das myRedaxo-Passwort zu ändern.

Relaunch im Gange

Doch nun zu erfreulicheren Themen: Der seit einiger Zeit geplante Relaunch von redaxo.org ist im Gange. Die Layouts sind fertig, die technische Umsetzung ist gestartet. Wir werden dies, so gut es unsere Zeit zulässt, vorantreiben. Ideen und Verbesserungen gibt es zahlreich.

SEO42

Lange Zeit war RexSEO das Standard-AddOn zum Umschreiben von URLs. Es war daher für manche User irritierend, als bekannt wurde, dass das AddOn nicht mehr weiter entwickelt wird. Es gibt jedoch mehrere Alternativen. Wir empfehlen das AddOn SEO42, das in den letzten Monaten um viele Funktionen erweitert wurde:
http://www.redaxo.org/de/download/addons/?addon_id=1060

Herzliche Grüße,
das REDAXO-Team
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/

steri
Beiträge: 364
Registriert: 12. Jul 2007, 14:59

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

25. Nov 2013, 12:53

Hallo,

wird es bei den Updatehinweisen auch wieder ein zip mit den sich zu änderenden dateien von rex 4.5 auf rex 4.5.1 geben?
würde gerne nur die dateien hochladen, die sich von redaxo geändert haben und das neue tinymce. Hat sich in der DB auch was geändert?

danke für das sicherheitsupdate

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

25. Nov 2013, 13:13

Also ein Diff nur mit den geändert Dateien gibt es noch nicht, soll es aber geben. Wenn jemand die Zeit und die Erfahrung hat hier was bereitzustellen dann gerne :)

DB Änderungen gab es keine. Hier muss also nichts weiter passieren.

Benutzeravatar
anita
Beiträge: 711
Registriert: 25. Jan 2007, 10:25
Wohnort: Finsterwalde

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

25. Nov 2013, 14:16

In den Sicherheitshinweisen steht u.a.

"sofern mal die REDAXO Version 4.5.0 hat, alle Dateien, ausser den Configdateien, austauschen."

nun ist mir leider nicht klar, welche Dateien config-Dateien sind. Muss man in anderen AddOns Dateien austauschen?

Ich nehme an die Verzeichnisse files und media bleiben wie sie sind.

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

25. Nov 2013, 14:43

Anita, jetzt wart halt auf ein Diff bzw. Patch! ;)

Benutzeravatar
Thomas.Skerbis
Beiträge: 1376
Registriert: 4. Aug 2006, 14:06
Wohnort: Rheinberg
Kontaktdaten: Website Twitter

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

26. Nov 2013, 16:27

Hallo und Danke für das Update
------------------
Imagemanager: PDF2IMG Plugin erstellt. Sofern es der Server unterstützt, kann der Image-Manager auch PDFs verwenden.
---------------------------
Was muss ich tun, um diese Funktion zu verwenden. Finde keinen Effekt und auch keine Hilfe hierzu.

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

26. Nov 2013, 16:30

Sofern ichs richtig verstanden habe:
index.php?rex_img_type=ImgTypeName&rex_img_file=ImageFileName.PDF

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

26. Nov 2013, 16:31

Hier im Thread ist alles ausgeschaltet?!

index.php?rex_img_type=ImgTypeName&rex_img_file=pdfFileName.PDF

Benutzeravatar
Thomas.Skerbis
Beiträge: 1376
Registriert: 4. Aug 2006, 14:06
Wohnort: Rheinberg
Kontaktdaten: Website Twitter

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

26. Nov 2013, 16:44

Ne, nicht wirklich. IMAGEMAGICK ist bei mir aktiviert und ich nutze es auch für meinen Downloadmanager.

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

26. Nov 2013, 16:48

Fehlermeldung? Endlosschleife?

Benutzeravatar
Thomas.Skerbis
Beiträge: 1376
Registriert: 4. Aug 2006, 14:06
Wohnort: Rheinberg
Kontaktdaten: Website Twitter

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

26. Nov 2013, 16:52

Browser meldet: [Error] Failed to load resource: the server responded with a status of 500 (Internal Server Error) (index.php, line 0).

Bilder werden korrekt dargestellt.

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

26. Nov 2013, 16:59

Also entweder hat dein Server nicht die nötigen Voraussetzungen dazu (was ich vermute) oder es ist ein Bug. Dann Issue auf GitHub erstellen ;)

Benutzeravatar
Thomas.Blum
Entwickler
Beiträge: 5063
Registriert: 24. Aug 2004, 22:11
Wohnort: Dresden
Kontaktdaten: Website

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

27. Nov 2013, 09:35

Hej,
Skerbis hat geschrieben:Was muss ich tun, um diese Funktion zu verwenden. Finde keinen Effekt und auch keine Hilfe hierzu.
das Plugin hast du installiert?

Benutzeravatar
Koala
Beiträge: 1612
Registriert: 3. Okt 2005, 13:20

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

27. Nov 2013, 22:33

["RexDude"]Also ein Diff nur mit den geändert Dateien gibt es noch nicht, soll es aber geben. Wenn jemand die Zeit und die Erfahrung hat hier was bereitzustellen dann gerne :)[/"RexDude"]

Diffs sind erstellt. Müssen nur noch geprüft und online gestellt werden.

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

27. Nov 2013, 22:48

Cool, vielen Dank! Wo ist es denn zu finden?

Benutzeravatar
Koala
Beiträge: 1612
Registriert: 3. Okt 2005, 13:20

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

27. Nov 2013, 23:41

Wenn die Freigabe für die Diffs erfolgte, wird sich ein Link zu den Dateien hier finden:
http://www.redaxo.org/de/download/updatehinweise/

Müsste dann so etwas sein: REX 4.x auf REX 4.5.1

Aber wie bereits erwähnt, erst nach Prüfung und Freigabe wird es dort etwas geben. Bis dahin heißt es weiterhin [Kaffee|Tee|$WhatEver] trinken und abwarten.

Benutzeravatar
Jan.Kristinus
Admin
Beiträge: 2165
Registriert: 24. Aug 2004, 22:11
Wohnort: Frankfurt
Kontaktdaten: ICQ Website

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

27. Nov 2013, 23:46

Hallo,

vielen Danke Sven/koala für die DIFFs.. die sind zwar nicht durchgetestet, aber grob drübergesehen und damit sollte man arbeiten können. Sollte jemand noch Fehler entdecken - her damit ..

http://www.redaxo.org/de/download/updat ... f-rex-451/

lg

Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/

Benutzeravatar
Oliver.Kreischer
Beiträge: 2508
Registriert: 17. Dez 2004, 00:03
Wohnort: Velbert - LA
Kontaktdaten: Website

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

27. Nov 2013, 23:56

Vielen Dank und viele Grüße

Oliver

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

28. Nov 2013, 01:08

Die master.inc.php in dem Diff sollte man aber nicht unbedingt mitkopieren. Ich glaube hier hat sich eh nur die Versionsnummer geändert. Also besser einfach von Hand hochsetzen.

Benutzeravatar
JeGr
Beiträge: 63
Registriert: 15. Jun 2013, 16:50

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

28. Nov 2013, 09:49

@RexDude: Richtig, das wollte ich auch gerade anmerken :)

@Jan: Minor "annoyance": Ich würde nicht Bug dazu sagen, aber das Redaxo Backend & Dashboard erkennt 4.5.1 noch nicht als aktuellste Version, sondern sagt "Entwicklerversion" dazu. Das verunsichert Redakteure, die gerne einen beruhigenden grünen Balken sehen möchten ;)

Grüße Jens

Benutzeravatar
Jan.Kristinus
Admin
Beiträge: 2165
Registriert: 24. Aug 2004, 22:11
Wohnort: Frankfurt
Kontaktdaten: ICQ Website

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

28. Nov 2013, 12:16

Das Dashboard ruft einen Webservice auf, der war noch auf 4.5.0 eingestellt .. sollte nun aber passen.

lg

Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/

Benutzeravatar
Thomas.Skerbis
Beiträge: 1376
Registriert: 4. Aug 2006, 14:06
Wohnort: Rheinberg
Kontaktdaten: Website Twitter

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

28. Nov 2013, 12:20

@Thomas Blum
Zitat: "das Plugin hast du installiert?"
Ja, habe ich. ... Es ist mir echt schleierhaft: exec und auch system sowie Imagemagick stehen zur Verfügung. Wie sollte dafür der Aufruf ausssehen?

Benutzeravatar
Jan.Kristinus
Admin
Beiträge: 2165
Registriert: 24. Aug 2004, 22:11
Wohnort: Frankfurt
Kontaktdaten: ICQ Website

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

3. Dez 2013, 10:44

@Skerbis: das pdf2img passt das pdf schon richtig an, nur, dummerweise, ist das bild dann soo groß, dass es nicht weiterverarbeitet wird.. Hatte eine zu hohe dpi Zahl beim umwandeln eingestellt..

Deswegen habe ich mir gestern noch Zeit genommen bei dir das PlugIn umzubauen.. Du hast nun das Glück ein neues PlugIn zu haben - convert2img, was das pdf2img ersetzt und auch andere Formate wie .bmp, .ps, .eps, .tif etc umwandelt. Habe Dir direkt ein paar Beispiele in den Medienpool gelegt.

Habe ich auch bei redaxo4 aufgenommen falls jemand das downloaden und testen will.
Nehme gerne Anregungen entgegen.. aber vielleicht nicht mehr hier unter Neuigkeiten.

https://github.com/redaxo/redaxo4/tree/ ... ge_manager

lg

Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

3. Dez 2013, 10:57

Wers sich saugen will: hier auf den Download Zip Button klicken: https://github.com/redaxo/redaxo4
Das Plugin ist dann an gewohnter Stelle unter /redaxo/include/addons/image_manager/plugins/convert2img

Benutzeravatar
Thomas.Skerbis
Beiträge: 1376
Registriert: 4. Aug 2006, 14:06
Wohnort: Rheinberg
Kontaktdaten: Website Twitter

Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42

3. Dez 2013, 18:45

Perfekt, danke! :-)

Zurück zu „Neuigkeiten“