Blog von Prenzlweb Berlin zu Webdesign, Fotografie, Websites & Interna

26.11.2013 von: Ralf Schlott Redaxo, Update, Sicherheit
Redaxo Update 1.5.1

Redaxo Sicherheits-Update wegen 3 Sicherheitslücken

Es gibt natürlich beim Betrieb einer Homepage immer wieder auch Sicherheitsprobleme. Deswegen sollte man auch eine - noch so gute - Redaxo-Installation immer aktuell halten. Nun wurde in der Redaxo 4.5.1 eine wichtige Sicherheitslücke geschlossen.

Ich empfehle allen Benutzern von älteren Redaxo-Versionen ein Update auf die neueste Redaxo-Version. Das ist natürlich bei der Beauftragung eines Webdesigners oder Webmasters mit Kosten verbunden, aber bei der Gelegenheit kann man ja gleich mal überprüfen, wie aktuell die ganze Homepage ist. Hier und da gibt es sicher Optimierungspotential. Bei prenzlweb erhalten Sie auch für eine Monatspauschale eine umfassende Betreuung Ihrer Redaxo-Installation.

Content-Management-Systeme benötigen Updates und Pflege

Dieses Update betrifft in diesem Fall das Content-Management-System Redaxo. Jetzt braucht man natürlich das System nicht gleich negativ sehen. Es ist eins der besten Redaktionssysteme überhaupt. Im Vergleich bringt man bei Onlineshop-Software wie OXID oder Shopware ebenfalls regelmäßig solche Updates. Auch Wordpress bringt regelmäßig Neuerungen wegen Sicherheitswarnungen. Lassen Sie also Ihre Homepage regelmäßig überprüfen!

Hier noch der offizielle Hinweis von der Redaxo-Homepage

"Auf seclists.org gibt es einige Hinweise zu XSS und zu einer TinyMCE Sicherheitslücke. Die XSS Probleme haben wir in der Version 4.5.1 behoben und tauchen ausschliesslich auf, wenn ein Angreifer es auf einen speziellen User abgesehen hat, dessen REDAXO Webseite weiß, und sich der User auf dieser Webseite eingeloggt hat und genau in diesem Moment auf einen präparierten Link klickt, in welchem dann das XSS eingebaut ist. Wie bereits in anderen Fällen erwähnt empfinden wir dies als einen sehr unwahrscheinlichen Fall.

Eine andere leider wichtige Anpassungen ist das TinyMCE AddOn. Hier hat sich eine Sicherheitslücke aufgetan, die unbedingt behoben werden muss. Sofern dieses AddOn nicht installiert ist, gibt es keine Probleme, ansonsten bitte die aktuelle Version aus dem Downloadbereich herunterladen und installieren.

Weiterhin gibt es Hinweise, dass ein User mit REDAXO Login, sich mehr Rechte einholen, also erlaubt ist und, unter bestimmten Umständen, PHP Skripte einschleusen kann. Diese Scherheitslücken sind auch behoben.

Da wir hierfür keine Patchdatei haben, sollte man das TinyMCE AddOn komplett austauschen, und, sofern man die REDAXO Version 4.5.0 hat, alle Dateien, ausser den Configdateien, austauschen."

Neuerungen in 4.5.1 zusätzlich zum Sicherheitsupdate

Die Redaxo-Entwickler lassen sich auch nicht lumpen. So gibt es eine ganze Liste von Neuerungen in der 4.5.1. Und, sofern Sie eine noch ältere Redaxo-Version haben, werden Sie noch mehr neue Features bekommen:

Bugfixes

  • Strict Messages beseitigt
  • Blöcke konnten nicht gelöscht werden, wenn deren Modul nicht dem Template zugewiesen ist
  • Pfade für Medien und Medienmanager im und fürs Backend angepasst REX_FORM_CONTROL_FIElDS. Alias EP hinzugefügt: REX_FORM_CONTROL_FIELDS
  • Fehlende Übersetzungsfunktion für Modulbezeichnungen bei Templates und Content eingebaut
  • Typenfilter bei REX_MEDIA(LIST)_BUTTON funktionierte nicht bei Dateien wie z.B. "a.b.gif"
  • be_search: keine Kategorie wurde nicht bei der Suche beachtet. Lokale Suche über Kategorien und Unterkategorien funktionierten nicht
  • image_manager: lazy loading entfernt, da kein vorteilhafter effekt
  • rex_replace_dynamic_contents: Es wird nur true zurückgegeben, wenn auch wirklich ersetzt wurde
  • REX_ARTICLE [prefix=""] prefix wurde vorher als htmlspecialchars ausgegeben.
  • REX_MEDIALIST_BUTTON. Bei Klick auf Medienliste anzeigen, wurde die Detailansicht angezeigt.
  • rex_var::toArray() funktioniert mit REX_VALUE[] und REX_HTML_VALUE[]
  • Metainfos: Neue Felder fehlten teilweise im Artikelcache
  • Image Manager kann nun passende Caches löschen kann, da EP "MEDIA_DELETED" existiert
  • array cast mit Zahl 0 geht nun
  • "+" in Dateinamen wird nun in "_" umgewandelt. -> keine Probleme mehr bei URL aufrufen
  • Beim Import von SQLDumps werden nun ältere Versionen angepasst. z.B. ENGINE=MyIsam -> Engine=MyIsam
  • Imagemanger. Blureffekt war sehr schwach und daher nicht wirklich gut nutzbar.
  • Englische Texte wurden komplett geprüft und überarbeitet (Danke Seven alias SigmaAlphaPi)
  • TinyMCE wurde aktualisiert, Eine Sicherheitslücke geschlossen, englische Texte ergänzt
  • Export. Multiple Extensions im Dateinamen sind nicht mehr möglich.
  • Import. Dieses Recht kann nciht mehr an User vergeben werden. Nur noch eine Adminfunktion
  • Diverse CSRF Möglichkeiten sind erschwert worden: Profile, Userverwaltung,
  • Diverse XSS Möglickeiten sind entfernt worden: be_search, Structure/Mode, Tinymce Config
  • Medienpool: Dateinamen werden besser überprüft, Multiples Extensionproblem ist beseitigt
  • Unnötige Sprachfiles wurden entfernt. Es gibt nun ausschliesslich deutsch und englisch
  • PageTitle wurde umgebaut um besser in Tabs erkennen zu können wo man sich befindet

Neue Dinge ab Redaxo 5.51

  • Imagemanager: Effekt rounded_corners aufgenommen
  • Imagemanager: Blureffekt verstärkt und umgebaut.
  • Imagemanager: PDF2IMG Plugin erstellt. Sofern es der Server unterstützt, kann der Image-Manager auch PDFs verwenden
  • EP "MEDIA_DELETED" ergänzt
  • Textile Update -> 2.5.4
  • Print Stylesheet
  • Sessiondauer wurde erhöht, Ajaxaufrufe über einen bestimmten Zeitraum verlängern die REDAXO Nutzung ohne erneutes einloggen

Für Redaxo-Updates kontaktieren Sie mich gerne!

« Zurück zum Blog