Jump to content
Forum²

Update: WoltLab Suite 5.4.15 / 5.3.21 / 5.2.20 / 3.1.28


Recommended Posts

Guest Alexander Ebert
Posted

Wir haben soeben Updates für unsere Produkte freigegeben:

 

  • WoltLab Suite 5.4.15
  • WoltLab Suite 5.3.21
  • WoltLab Suite 5.2.20
  • WoltLab Suite 3.1.28

 

Stabilitäts- und Fehlerbehebungsversionen (die 3. Stelle der Versionsnummer, auch als "patch releases" bekannt), beseitigen ausschließlich Fehler in der aktuellen Version und führen keine neuen Funktionen ein. Es wird ausdrücklich empfohlen, diese Updates anzuwenden.

 

[HEADING=1]Sicherheitshinweis[/HEADING]

 

Wir wurden darauf aufmerksam gemacht, dass es im Protokoll von Cronjobs im Falle eines Fehlers zu einer ungewollten Ausführung von HTML kommen kann. Dies kann dann auftreten, wenn ein Cronjob beispielsweise Daten von einer HTML-Seite abruft und im Fehlerfall beispielsweise HTML-Code als Fehlermeldung ablegt. Diese Schwachstelle lässt sich unseren Erkenntnis nach nicht gezielt durch einen Angreifer ausnutzen. Vielen Dank an dieser Stelle an @SoftCreatR, der uns auf dieses Problem aufmerksam gemacht hat.

 

 

 

Ebenfalls wurde uns gemeldet, dass es beim Hochladen von Dateianhängen mit speziell präparierten Dateinamen zu einem sogenannten „Self-XSS“-Angriff kommen kann. Dies lässt sich ausschließlich unter Linux und macOS ausnutzen, Windows erlaubt die dafür notwendigen Zeichen im Dateinamen grundsätzlich nicht. Die Auswirkung ist auf den Benutzer selbst zum Zeitpunkt des Hochladens begrenzt, weitere Auswirkungen hat dies nicht. Diese Schwachstelle kann grundsätzlich nicht für einen Angriff auf andere Benutzer oder Besucher der Seite ausgenutzt werden.

 

 

 

Alle Installationen von WoltLab Cloud-Kunden wurden bereits aktualisiert.

 

[HEADING=1]Aktualisierung einer bestehenden Installation[/HEADING]

 

Öffnen Sie die Administrationsoberfläche und rufen Sie den Menüpunkt Konfiguration > Pakete > Pakete auflisten auf. Klicken Sie dann auf den Button Updates suchen, diesen finden Sie rechts oberhalb der Paketauflistung.

 

[HEADING=1]Bedeutende Änderungen[/HEADING]

 

Bitte beachten Sie, dass die unten stehende Liste nur die wichtigsten Änderungen enthält. Kleinere Korrekturen (u.a. Tippfehler) werden nicht separat aufgeführt.

 

[HEADING=2]WoltLab Suite Calendar[/HEADING]

  • Beim Wechsel auf einen anderen Monat wurde der Filter nach Labels verworfen. 5.4
  • Label-Gruppen konnten irrtümlich nur für die ersten Ebenen von Kategorien eingestellt werden. 5.4

[HEADING=2]WoltLab Suite Filebase[/HEADING]

  • Label-Gruppen konnten irrtümlich nur für die ersten Ebenen von Kategorien eingestellt werden. 5.4
  • Beim Aufruf einer nicht existierenden Datei wurde eine fehlerhafte Meldung erzeugt. 5.4 5.3
  • Deaktivierte Versionen können jetzt auch von den „weiteren Autoren“ einer Datei eingesehen werden. 5.4

[HEADING=2]WoltLab Suite Forum[/HEADING]

  • Die Erzeugung von Direktlinks auf eine gefilterte Themenliste konnte in seltenen Fällen ungültige Links erzeugen. 5.4

[HEADING=2]WoltLab Suite Core: Importer[/HEADING]

  • vBulletin 5.x
    • Der Import von Argon2-Kennwörtern wurde korrigiert.

[HEADING=2]WoltLab Suite Core[/HEADING]

  • (SICHERHEIT): HTML in der Fehlermeldung von fehlgeschlagenen Cronjobs wird im Cronjob-Protokoll jetzt korrekt maskiert. 5.4 5.3 5.2 3.1
  • (SICHERHEIT): HTML wird in der Anzeige des Dateinamen während des Uploads eines Dateianhangs jetzt korrekt maskiert. Nach Abschluss des Uploads und beim Editieren eines Inhalts (bspw. Beitrags) war das Verhalten bereits korrekt. 5.4 5.3 5.2 3.1
  • Das Erwähnen von Benutzergruppen mit nicht-lateinischen Buchstaben wurde korrigiert. 5.4
  • Das automatische Ausklappen von blockierten Inhalten bei einem Direktlink in WoltLab Suite 5.4.14 wurde rückgängig gemacht, da es unerwartete Auswirkungen auf die Benutzererfahrung hatte. 5.4
  • In den Editor eingefügte Links unter iOS und Android landen nicht mehr am Textanfang. 5.4
  • Die Erkennung von IPv4-Adressen mit der StopForumSpam-Integration wurde korrigiert. 5.4 5.3
  • Leere Benutzerprofilfelder vom Typ labeledUrl werden nicht mehr im Profil angezeigt. 5.4
  • Die Verarbeitung von Suchbegriffen in Anführungszeichen wurde bei Verwendung der MySQL-basierten Suche korrigiert. 5.4
  • Die Rich Embeds ignorieren jetzt alle nicht-HTTP-Links, anstatt zu versuchen diese erfolglos abzurufen. 5.4
  • Unbekannte Kodierungen der abgerufenen Webseite führen bei den Rich Embeds nicht mehr dazu, dass eine Fehlermeldung geloggt wird. 5.4
  • Label-Gruppen konnten irrtümlich nur für die ersten Ebenen von Kategorien eingestellt werden. 5.4
  • Die Benutzererfahrung bei der Auswahl von Objekten (bspw. eines Forenbereichs) zur Konfiguration eines Menüpunktes wurde verbessert. 5.4
  • Die Markierung von zitierbaren Texten führt unter Android / Chrome Mobile beim Überfahren des Zitiermenüs nicht mehr dazu, dass die ganze Seite markiert wird. 5.4
  • Beim Absenden eines Formulars mit fehlerhaften Eingaben wurde der richtige Tab nicht automatisch geöffnet. 5.4
  • Die Suche in Profilfeldern mit Dezimalzahlen normalisiert jetzt die lokalisierte Such-Eingabe des Benutzers. 5.4
  • Die Fehlermeldung bei ungültigen Eingaben für Profilfelder für Ganzzahlen wurde verbessert. 5.4
  • Die Berücksichtigung von Wörtern, die kürzer als die minimale Länge zur Aufnahme in den MySQL-Suchindex sind, wird nicht mehr erzwungen. Ohne diese Änderung wurden die Suchergebnisse ausgefiltert, in denen die Wörter alleinstehend vorkommen und lediglich Ergebnisse zurückgeliefert, in denen diese Wörter als Wortbestandteil auftauchen. 5.4
  • Für Entwickler: Fehlerkorrekturen an den Dev Tools. 5.4
  • Für Entwickler: Deaktivierte Eingabefelder für die Datumsauswahl wurden nicht korrekt initialisiert. 5.4
  • Für Entwickler: Der Escape-Key in Dialogen löst nun den Callback für onBeforeClose aus. 5.4
  • Für Entwickler: Die Fehlerbehandlung für fehlerhafte $limit und $offset-Parameter in ->prepare() und ->prepareStatement() wurde verbessert. 5.4 5.3

 

Continue reading...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...