CMSimple_XH 1.6.6

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

CMSimple_XH 1.6.6

Post by cmb » Sun Mar 15, 2015 11:50 am

Hallo zusammen,

wir haben gerade CMSimple_XH 1.6.6 veröffentlicht. Diese Version schließt eine kritische Sicherheitslücke, behebt ein paar Bugs und bringt Updates von jQuery4CMSimple und hi_UpdateCheck.

Ein Update wird unbedingt empfohlen.

Changelog:
  • Arbitrary Code Execution Sicherheitslücke geschlossen (alle Versionen seit wenigstens CMSimple_XH 1.0[1] sind betroffen)
  • Fehler behoben, durch den plugins.css bei jeder Anfrage aktualisiert wurde
  • Regression behoben, durch die die Fehlermeldung bezüglich bereits gesendeter Header nicht mehr angezeigt wurde
  • Fehler behoben, durch den HTML im meta_tags Reiter doppelt maskiert wurde
  • auf jQuery4CMSimple 1.6 aktualisiert
  • auf hi_UpdateCheck 1.3 aktualisiert
Weitere Details findet ihr in der archivierten Roadmap.

Wie üblich habt Ihr folgende Optionen:
  • Für neue Installationen verwendet ihr das Komplettpaket.
  • Zum Update von CMSimple_XH 1.6.5 gibt es ein Updatepaket; folgt der allgemeinen Update-Anleitung. Beachtet außerdem folgendes:
    • Schaltet in der Konfiguration des jQuery4CMSimple Plugins auf die aktuellste jQuery- und jQueryUI-Version um.
  • Zum Update von CMSimple_XH 1.6 gibt es ein Updatepaket; folgt der allgemeinen Update-Anleitung. Beachtet außerdem folgendes:
    • In CMSimple_XH 1.6.1 haben wir die Ordner css/ und javascript/ nach core/css/ bzw. core/js/ verschoben, so dass Ihr möglicherweise die alten Ordner nach dem Update löschen müsst.
    • In bestimmten Fällen werden Leerzeichen in den URLs nun anders kodiert (- statt _). Wenn Ihr das nicht mögt, ändert die Konfigurationoption Uri -> Word separator.
    • Wenn Ihr meta_tags Titel verwendet, dann solltet Ihr die Titel der entsprechenden Seiten überprüfen. Das geänderte Verhalten ist vermutlich das gewünschte, aber prüft es trotzdem.
    • Aufgrund des geänderten Überschriftslevel des Submenüs müsst Ihr eventuell stylesheet.css Eures Templates anpassen, falls Ihr menu_levels ungleich 3 habt.
    • Wenn Ihr userprelude.php verwenden wollt, dann müsst Ihr die index.php Dateien bestehender Kopien von 2lang/ durch 2lang/index.php ersetzen.
    • Beachtet außerdem die Updatehinweise von 1.6.5 auf 1.6.6 weiter oben.
Viel Spaß!

PS: [1] Ich habe die betroffenen CMSimple_XH Versionen korrigiert.
Christoph M. Becker – Plugins for CMSimple_XH

Der Zwerch
Posts: 608
Joined: Sat Jul 28, 2012 11:38 am
Location: Perle der Grafschaft > 127.0.0.1

Re: CMSimple_XH 1.6.6

Post by Der Zwerch » Sun Mar 15, 2015 5:13 pm

Hallo,
Update von 1.6.5 auf 1.6.6 lief problemlos :)

Wolfgang
Posts: 45
Joined: Tue Nov 25, 2014 9:11 pm
Location: München

Re: CMSimple_XH 1.6.6

Post by Wolfgang » Sun Mar 15, 2015 5:22 pm

Hallo,
die Updates vom 1.6.5 auf 1.6.6 funktionierten einwandfrei. :)

mhz
Posts: 676
Joined: Tue Jun 25, 2013 8:46 pm
Location: Heusenstamm, Hessen
Contact:

Re: CMSimple_XH 1.6.6

Post by mhz » Sun Mar 15, 2015 5:59 pm

Bisher funktionieren alle Websites mit dem Update einwandfrei. :D
Michael Zajusch (mhz)-- Mein Tutorial für CMSimple_XH. Früher

lck
Posts: 2963
Joined: Wed Mar 23, 2011 11:43 am
Contact:

Re: CMSimple_XH 1.6.6

Post by lck » Sun Mar 15, 2015 6:56 pm

cmb wrote:... wir haben gerade CMSimple_XH 1.6.6 veröffentlicht.
Gratulation und vielen Dank an die Entwickler :!:
Man kommt ja mit dem Updaten gar nicht mehr hinterher :o

Update von CMSimple_XH 1.6.0 auf 1.6.6 lokal unter Xampp getestet. Bisher ohne sichtbare Probleme. Läuft!
Last edited by lck on Sun Mar 15, 2015 8:08 pm, edited 1 time in total.
„Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig!“   👉 Ludwig's XH-Templates for MultiPage & OnePage

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: CMSimple_XH 1.6.6

Post by cmb » Sun Mar 15, 2015 7:02 pm

Zunächst vielen Dank für das Feedback, wie das Update geklappt hat.
Ludwig wrote:Man kommt ja mit dem Updaten gar nicht mehr hinterher :o
Ich hätte 1.6.6 gerne erst in zwei oder drei Monaten veröffentlicht, aber aufgrund der Sicherheitslücke bestand schon akuter Handlungsbedarf.
Christoph M. Becker – Plugins for CMSimple_XH

Der Zwerch
Posts: 608
Joined: Sat Jul 28, 2012 11:38 am
Location: Perle der Grafschaft > 127.0.0.1

Re: CMSimple_XH 1.6.6

Post by Der Zwerch » Sun Mar 15, 2015 7:35 pm

Hallo,
Zwar doof, aber es hat ja geklappt :mrgreen:

meltemi
Posts: 177
Joined: Sat Feb 22, 2014 10:11 pm
Location: Franken (Deutschland)
Contact:

Re: CMSimple_XH 1.6.6

Post by meltemi » Sun Mar 15, 2015 11:48 pm

cmb wrote:In bestimmten Fällen werden Leerzeichen in den URLs nun anders kodiert (- statt _). Wenn Ihr das nicht mögt, ändert die Konfigurationoption Uri -> Word separator.
Und was ist mit denjenigen, die das zwar mögen, aber bisher mit Unterseiten mit Unterstrichen bei Google gut platziert sind?

Die Möger solltest Du nicht im Unklaren darüber lassen, daß für Google eine (ansonsten gleiche) Adresse mit jetzt Minuszeichen statt bisher Unterstrich eine völlig andere ist. Wer bisher (1) Adressen mit Unterstrich hatte und künftig (2) solche mit Minuszeichen, sollte von (1) per Statuscode 301 zu (2) weiterleiten, und zwar für jede Seite.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: CMSimple_XH 1.6.6

Post by cmb » Mon Mar 16, 2015 1:08 pm

meltemi wrote:
cmb wrote:In bestimmten Fällen werden Leerzeichen in den URLs nun anders kodiert (- statt _). Wenn Ihr das nicht mögt, ändert die Konfigurationoption Uri -> Word separator.
Und was ist mit denjenigen, die das zwar mögen, aber bisher mit Unterseiten mit Unterstrichen bei Google gut platziert sind?

Die Möger solltest Du nicht im Unklaren darüber lassen, daß für Google eine (ansonsten gleiche) Adresse mit jetzt Minuszeichen statt bisher Unterstrich eine völlig andere ist. Wer bisher (1) Adressen mit Unterstrich hatte und künftig (2) solche mit Minuszeichen, sollte von (1) per Statuscode 301 zu (2) weiterleiten, und zwar für jede Seite.
Stimmt -- guter Hinweis.

Zunächst zur Klärung von "in bestimmten Fällen". Mit CMSimple_XH 1.6.2 wurde der konfigurierbare word_separator überhaupt erst eingeführt. Dieser hatte zunächst die vollständig abwärtskompatible Vorbelegung "_". Mit CMSimple_XH 1.6.5 wurde dann die Vorbelegung zu "-" geändert. Da in den Update-Paketen keine config.phps enthalten sind, ändert sich durch das Update von 1.6.2 oder später zu 1.6.5 oder später nichts. Die "bestimmten" Fälle sind also Updates von 1.6 oder 1.6.1 auf 1.6.5 oder später, weil dort dann die Voreinstellung in defaultconfig.php greift. Ich vermute in der Praxis betrifft das also eher wenige Anwender, denn wenn überhaupt upgedatet wird, dann vermutlich doch eher regelmäßig (1.6.2 wurde bereits im Mai 2014 veröffentlicht).

Für Neuinstallation ist das sowieso kein Problem. Das größte Problem sehe ich bei Upgrades von Versionen vor 1.6. Wer da die Konfiguration (wie empfohlen) nicht manuell "korrigiert", der hat plötzlich geänderte URLs (so wie 3-magi.net; muss ich gleich mal korrigieren). Wer bei den neuen URLs bleiben will, sollte tatsächlich einen 301 Redirect einrichten. Wer sich mit .htaccess nicht auskennt (oder es nicht zur Verfügung hat), könnte Moved_XH verwenden.
Christoph M. Becker – Plugins for CMSimple_XH

manu
Posts: 1086
Joined: Wed Jun 04, 2008 12:05 pm
Location: St. Gallen - Schweiz
Contact:

Re: CMSimple_XH 1.6.6

Post by manu » Tue Mar 17, 2015 2:21 pm

cmb wrote:.... Wer bei den neuen URLs bleiben will, sollte tatsächlich einen 301 Redirect einrichten. Wer sich mit .htaccess nicht auskennt (oder es nicht zur Verfügung hat), könnte Moved_XH verwenden.
Ich habs mal in der .htaccess bei meiner Beispielseite durchgespielt:

Code: Select all

RewriteEngine On

# redirect old (=:) to new (=/)seperators
RewriteCond %{QUERY_STRING} ^(.*):(.*)$
RewriteRule ^(.*)$ ?%1/%2 [R]

#redirect old (=_) to new (=-) white spaces
RewriteCond %{QUERY_STRING} !^(hi_|meta_|page_|protected_)
RewriteCond %{QUERY_STRING} ^(.*)_(.*)$
RewriteRule ^(.*)$ ?%1-%2 [R]
Funktioniert soweit. Da sind auch schlafende Hunde drin (plugins mit underscore im namen müssen maskiert werden).
Mit den R=301 Flags warte ich mal. Das sind ja repetitive rewrites. Dann gibts für jede Variation einene Umleitung. Vielleicht gibts noch einen Geistesblitz.

EDIT: Das underscore replace ist noch eine ganz unausgegorene Sache, die meisten plugin admin Aufrufe funktionieren nicht.

Post Reply