REDAXO-Update 4.5.1
Wir möchten Euch heute auf das neue REDAXO-Update 4.5.1 hinweisen, mit dem wir einige Sicherheitslücken schließen.
Martin Plakinger (vielen Dank an ihn!) hat uns auf ein ernstes Sicherheitsproblem im TinyMCE-AddOn hingewiesen, durch das es möglich war, die REDAXO-Konfigurationsdatei auszulesen. Wir empfehlen daher dringend, alle Websites schnellstmöglich upzudaten, die den TinyMCE als Editor nutzen. Es sind nur Websites betroffen, die den TinyMCE-Editor installiert haben.
Daneben sind zwei kleinere Probleme bekannt geworden, mit denen es unter bestimmten Umständen möglich war, eine Session eines eingeloggten User über Cross-Site-Scripting zu übernehmen und die es eingeloggten Redakteuren ermöglichte, über das import_export-AddOn und manipulierte Dateinamen PHP-Code auf dem Server abzulegen.
Alle diese Sicherheitsprobleme haben wir mit Version 4.5.1 behoben.
http://www.redaxo.org/de/download/sicherheitshinweise/
Wir haben aber auch etliche Kleinigkeiten korrigiert und ein paar hilfreiche Neuerungen eingebaut, wie etwa im ImageManager Eckenrundungen, einen schönen Blurfilter oder einen PDF2IMG-Konverter.
Eine vollständige Liste aller Neuerungen findet Ihr hier:
https://github.com/redaxo/redaxo4/blob/ ... hanges.txt
Redaxo 4.5.1 zum Download:
http://www.redaxo.org/files/redaxo4_5_1.zip
Die aktualisierte Version nur des TinyMCE-AddOns:
http://www.redaxo.org/files/addon_tinymce-2.5.zip
WIKI-System auf der REDAXO-Website
Ein weiteres Sicherheitsproblem mussten wir durch das WIKI-System auf unserer Website redaxo.org feststellen. Durch eine nicht mehr aktuelle WIKI-Installation wurde vor einiger Zeit die Website gehackt. Die Lücke wurde schnell geschlossen, aber es ist nicht auszuschließen (obwohl wir bisher keine Hinweise finden konnten), dass es während dieser kurzen Zeit möglich war, die myRedaxo-Passwörter auszulesen. Um kein Risiko einzugehen, empfehlen wir allen Usern, das myRedaxo-Passwort zu ändern.
Relaunch im Gange
Doch nun zu erfreulicheren Themen: Der seit einiger Zeit geplante Relaunch von redaxo.org ist im Gange. Die Layouts sind fertig, die technische Umsetzung ist gestartet. Wir werden dies, so gut es unsere Zeit zulässt, vorantreiben. Ideen und Verbesserungen gibt es zahlreich.
SEO42
Lange Zeit war RexSEO das Standard-AddOn zum Umschreiben von URLs. Es war daher für manche User irritierend, als bekannt wurde, dass das AddOn nicht mehr weiter entwickelt wird. Es gibt jedoch mehrere Alternativen. Wir empfehlen das AddOn SEO42, das in den letzten Monaten um viele Funktionen erweitert wurde:
http://www.redaxo.org/de/download/addons/?addon_id=1060
Herzliche Grüße,
das REDAXO-Team
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt

Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
- Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Hallo,
wird es bei den Updatehinweisen auch wieder ein zip mit den sich zu änderenden dateien von rex 4.5 auf rex 4.5.1 geben?
würde gerne nur die dateien hochladen, die sich von redaxo geändert haben und das neue tinymce. Hat sich in der DB auch was geändert?
danke für das sicherheitsupdate
wird es bei den Updatehinweisen auch wieder ein zip mit den sich zu änderenden dateien von rex 4.5 auf rex 4.5.1 geben?
würde gerne nur die dateien hochladen, die sich von redaxo geändert haben und das neue tinymce. Hat sich in der DB auch was geändert?
danke für das sicherheitsupdate
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Also ein Diff nur mit den geändert Dateien gibt es noch nicht, soll es aber geben. Wenn jemand die Zeit und die Erfahrung hat hier was bereitzustellen dann gerne :)
DB Änderungen gab es keine. Hier muss also nichts weiter passieren.
DB Änderungen gab es keine. Hier muss also nichts weiter passieren.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
In den Sicherheitshinweisen steht u.a.
"sofern mal die REDAXO Version 4.5.0 hat, alle Dateien, ausser den Configdateien, austauschen."
nun ist mir leider nicht klar, welche Dateien config-Dateien sind. Muss man in anderen AddOns Dateien austauschen?
Ich nehme an die Verzeichnisse files und media bleiben wie sie sind.
"sofern mal die REDAXO Version 4.5.0 hat, alle Dateien, ausser den Configdateien, austauschen."
nun ist mir leider nicht klar, welche Dateien config-Dateien sind. Muss man in anderen AddOns Dateien austauschen?
Ich nehme an die Verzeichnisse files und media bleiben wie sie sind.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Anita, jetzt wart halt auf ein Diff bzw. Patch! ;)
-
- Beiträge: 1371
- Registriert: 4. Aug 2006, 14:06
- Wohnort: Rheinberg
- Kontaktdaten: Website Twitter
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Hallo und Danke für das Update
------------------
Imagemanager: PDF2IMG Plugin erstellt. Sofern es der Server unterstützt, kann der Image-Manager auch PDFs verwenden.
---------------------------
Was muss ich tun, um diese Funktion zu verwenden. Finde keinen Effekt und auch keine Hilfe hierzu.
------------------
Imagemanager: PDF2IMG Plugin erstellt. Sofern es der Server unterstützt, kann der Image-Manager auch PDFs verwenden.
---------------------------
Was muss ich tun, um diese Funktion zu verwenden. Finde keinen Effekt und auch keine Hilfe hierzu.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Sofern ichs richtig verstanden habe:
index.php?rex_img_type=ImgTypeName&rex_img_file=ImageFileName.PDF
index.php?rex_img_type=ImgTypeName&rex_img_file=ImageFileName.PDF
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Hier im Thread ist alles ausgeschaltet?!
index.php?rex_img_type=ImgTypeName&rex_img_file=pdfFileName.PDF
index.php?rex_img_type=ImgTypeName&rex_img_file=pdfFileName.PDF
-
- Beiträge: 1371
- Registriert: 4. Aug 2006, 14:06
- Wohnort: Rheinberg
- Kontaktdaten: Website Twitter
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Ne, nicht wirklich. IMAGEMAGICK ist bei mir aktiviert und ich nutze es auch für meinen Downloadmanager.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Fehlermeldung? Endlosschleife?
-
- Beiträge: 1371
- Registriert: 4. Aug 2006, 14:06
- Wohnort: Rheinberg
- Kontaktdaten: Website Twitter
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Browser meldet: [Error] Failed to load resource: the server responded with a status of 500 (Internal Server Error) (index.php, line 0).
Bilder werden korrekt dargestellt.
Bilder werden korrekt dargestellt.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Also entweder hat dein Server nicht die nötigen Voraussetzungen dazu (was ich vermute) oder es ist ein Bug. Dann Issue auf GitHub erstellen ;)
- Thomas.Blum
- Entwickler
- Beiträge: 5063
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Dresden
- Kontaktdaten: Website
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Hej,
das Plugin hast du installiert?Skerbis hat geschrieben:Was muss ich tun, um diese Funktion zu verwenden. Finde keinen Effekt und auch keine Hilfe hierzu.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
["RexDude"]Also ein Diff nur mit den geändert Dateien gibt es noch nicht, soll es aber geben. Wenn jemand die Zeit und die Erfahrung hat hier was bereitzustellen dann gerne :)[/"RexDude"]
Diffs sind erstellt. Müssen nur noch geprüft und online gestellt werden.
Diffs sind erstellt. Müssen nur noch geprüft und online gestellt werden.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Cool, vielen Dank! Wo ist es denn zu finden?
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Wenn die Freigabe für die Diffs erfolgte, wird sich ein Link zu den Dateien hier finden:
http://www.redaxo.org/de/download/updatehinweise/
Müsste dann so etwas sein: REX 4.x auf REX 4.5.1
Aber wie bereits erwähnt, erst nach Prüfung und Freigabe wird es dort etwas geben. Bis dahin heißt es weiterhin [Kaffee|Tee|$WhatEver] trinken und abwarten.
http://www.redaxo.org/de/download/updatehinweise/
Müsste dann so etwas sein: REX 4.x auf REX 4.5.1
Aber wie bereits erwähnt, erst nach Prüfung und Freigabe wird es dort etwas geben. Bis dahin heißt es weiterhin [Kaffee|Tee|$WhatEver] trinken und abwarten.
- Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Hallo,
vielen Danke Sven/koala für die DIFFs.. die sind zwar nicht durchgetestet, aber grob drübergesehen und damit sollte man arbeiten können. Sollte jemand noch Fehler entdecken - her damit ..
http://www.redaxo.org/de/download/updat ... f-rex-451/
lg
Jan
vielen Danke Sven/koala für die DIFFs.. die sind zwar nicht durchgetestet, aber grob drübergesehen und damit sollte man arbeiten können. Sollte jemand noch Fehler entdecken - her damit ..
http://www.redaxo.org/de/download/updat ... f-rex-451/
lg
Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/
- Oliver.Kreischer
- Beiträge: 2508
- Registriert: 17. Dez 2004, 00:03
- Wohnort: Velbert - LA
- Kontaktdaten: Website
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Vielen Dank und viele Grüße
Oliver
Oliver
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Die master.inc.php in dem Diff sollte man aber nicht unbedingt mitkopieren. Ich glaube hier hat sich eh nur die Versionsnummer geändert. Also besser einfach von Hand hochsetzen.
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
@RexDude: Richtig, das wollte ich auch gerade anmerken :)
@Jan: Minor "annoyance": Ich würde nicht Bug dazu sagen, aber das Redaxo Backend & Dashboard erkennt 4.5.1 noch nicht als aktuellste Version, sondern sagt "Entwicklerversion" dazu. Das verunsichert Redakteure, die gerne einen beruhigenden grünen Balken sehen möchten ;)
Grüße Jens
@Jan: Minor "annoyance": Ich würde nicht Bug dazu sagen, aber das Redaxo Backend & Dashboard erkennt 4.5.1 noch nicht als aktuellste Version, sondern sagt "Entwicklerversion" dazu. Das verunsichert Redakteure, die gerne einen beruhigenden grünen Balken sehen möchten ;)
Grüße Jens
- Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Das Dashboard ruft einen Webservice auf, der war noch auf 4.5.0 eingestellt .. sollte nun aber passen.
lg
Jan
lg
Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/
-
- Beiträge: 1371
- Registriert: 4. Aug 2006, 14:06
- Wohnort: Rheinberg
- Kontaktdaten: Website Twitter
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
@Thomas Blum
Zitat: "das Plugin hast du installiert?"
Ja, habe ich. ... Es ist mir echt schleierhaft: exec und auch system sowie Imagemagick stehen zur Verfügung. Wie sollte dafür der Aufruf ausssehen?
Zitat: "das Plugin hast du installiert?"
Ja, habe ich. ... Es ist mir echt schleierhaft: exec und auch system sowie Imagemagick stehen zur Verfügung. Wie sollte dafür der Aufruf ausssehen?
- Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
@Skerbis: das pdf2img passt das pdf schon richtig an, nur, dummerweise, ist das bild dann soo groß, dass es nicht weiterverarbeitet wird.. Hatte eine zu hohe dpi Zahl beim umwandeln eingestellt..
Deswegen habe ich mir gestern noch Zeit genommen bei dir das PlugIn umzubauen.. Du hast nun das Glück ein neues PlugIn zu haben - convert2img, was das pdf2img ersetzt und auch andere Formate wie .bmp, .ps, .eps, .tif etc umwandelt. Habe Dir direkt ein paar Beispiele in den Medienpool gelegt.
Habe ich auch bei redaxo4 aufgenommen falls jemand das downloaden und testen will.
Nehme gerne Anregungen entgegen.. aber vielleicht nicht mehr hier unter Neuigkeiten.
https://github.com/redaxo/redaxo4/tree/ ... ge_manager
lg
Jan
Deswegen habe ich mir gestern noch Zeit genommen bei dir das PlugIn umzubauen.. Du hast nun das Glück ein neues PlugIn zu haben - convert2img, was das pdf2img ersetzt und auch andere Formate wie .bmp, .ps, .eps, .tif etc umwandelt. Habe Dir direkt ein paar Beispiele in den Medienpool gelegt.
Habe ich auch bei redaxo4 aufgenommen falls jemand das downloaden und testen will.
Nehme gerne Anregungen entgegen.. aber vielleicht nicht mehr hier unter Neuigkeiten.
https://github.com/redaxo/redaxo4/tree/ ... ge_manager
lg
Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Wers sich saugen will: hier auf den Download Zip Button klicken: https://github.com/redaxo/redaxo4
Das Plugin ist dann an gewohnter Stelle unter /redaxo/include/addons/image_manager/plugins/convert2img
Das Plugin ist dann an gewohnter Stelle unter /redaxo/include/addons/image_manager/plugins/convert2img
-
- Beiträge: 1371
- Registriert: 4. Aug 2006, 14:06
- Wohnort: Rheinberg
- Kontaktdaten: Website Twitter
Re: Redaxo 4.5.1, Sicherheitsfix, Relaunch, SEO42
Perfekt, danke! :-)