Joomla 1.5.13 Sicherheitsupdate bei allen Kunden eingespielt
Die Joomla Version 1.5.13 Wojmamni ama baji ist heute erschienen. Sie enthält 26 Fehlerkorrekturen und behebt 1 mittleres sowie 1 niedriges Sicherheitsrisiko.
Bei allen deweso.de Kunden (der 1.5er Version) ist der aktuelle Patch installiert und getestet worden. Joomla Sicherheits und Update-Service, professionell und günstig. Hierbei wurde eine Unstimmigkeit im Media Manager entdeckt und behoben.
Sicherheit
- Hohe Priorität Kern - Datei-Upload: Mit dem Tiny browser (auch TinyMCE 3.0) war es möglich Dateien hochzuladen oder zu löschen, ohne eingeloggt zu sein. Hierbei waren nur die Installationen der 1.5.12 betroffen.
- Mittlere Priorität Kern-XSS (XSS = Cross-Site Scripting): In der Mini-Command-Line-Weboberfläche JEXEC können ggf. Installationspfade ausgelesen werden.
Komponenten
- Das Bearbeiten-Icon erscheint nun an der richtigen Stelle.
- "usertype" Spalte wird bei der Benutzerregistrierung im Frontend korrekt in der Datenbank gespeichert.
Plugins
- Typografischer Fehler in PHPdoc gehoben.
- TinyMCE Editor arbeitet nun auch korrekt im komprimierten Modus.
- Media Manager zeigt die korrekte Meldung nach erfolgreichem Bildupload.
- Image Button kann nun auch von Benutzern genutzt werden, die normalerweise nicht die Berechtigung zum Upload haben. (Kommentar Funktion).
Sprachen
- Fehlermeldungen im Media Manager können nun auch übersetzt werden.
Bug im Media Manager bei Update zu 1.5.13 und funktionierender Work-Around
Wenn man im Backend auf den Media Manager klickt wird gibt es einen Fatal Error:
Fatal error: Call to a member function authorize() on a non-object in /var/www/apache2-default/DGP_joomla1.5/administrator/components/com_media/views/media/tmpl/default.php on line 64
Dies kommt daher das die Methode authorise() nicht zur verfügung steht. Die betreffende Zeile 64 lautet:
Dies kann man umgehen in dem man die Klasse und die Methode in der Datei direkt initialisiert und aufruft:
Dies ist schon im Bugsquad von Joomla aufgenommen worden.
Update 13:02 Uhr
Bessere Möglichkeit den Fehler zu Patchen: Die Datei administrator/components/com_media/views/media/tmpl/default.php bleibt wie sie war und anstelle dessen wird die Datei administrator/components/com_media/views/media/view.html.php um folgenden Eintrag um Zeile 90 ergänzt:
$user =& JFactory::getUser();
$this->assignRef('user', $user);