Skip to main content

Joomla 1.5.13 Sicherheitsupdate bei allen Kunden eingespielt

2009-07-23_Patch1.5.13Die Joomla Version 1.5.13 Wojmamni ama baji ist heute erschienen. Sie enthält 26 Fehlerkorrekturen und behebt 1 mittleres sowie 1 niedriges Sicherheitsrisiko.

Bei allen deweso.de Kunden (der 1.5er Version) ist der aktuelle Patch installiert und getestet worden. Joomla Sicherheits und Update-Service, professionell und günstig. Hierbei wurde eine Unstimmigkeit im Media Manager entdeckt und behoben.

Sicherheit

  • Hohe Priorität Kern - Datei-Upload: Mit dem Tiny browser (auch TinyMCE 3.0) war es möglich Dateien hochzuladen oder zu löschen, ohne eingeloggt zu sein. Hierbei waren nur die Installationen der 1.5.12 betroffen.
  • Mittlere Priorität Kern-XSS (XSS = Cross-Site Scripting): In der Mini-Command-Line-Weboberfläche JEXEC können ggf. Installationspfade ausgelesen werden.

Komponenten

  • Das Bearbeiten-Icon erscheint nun an der richtigen Stelle.
  • "usertype" Spalte wird bei der Benutzerregistrierung im Frontend korrekt in der Datenbank gespeichert.

Plugins

  • Typografischer Fehler in PHPdoc gehoben.
  • TinyMCE Editor arbeitet nun auch korrekt im komprimierten Modus.
  • Media Manager zeigt die korrekte Meldung nach erfolgreichem Bildupload.
  • Image Button kann nun auch von Benutzern genutzt werden, die normalerweise nicht die Berechtigung zum Upload haben. (Kommentar Funktion).

Sprachen

  • Fehlermeldungen im Media Manager können nun auch übersetzt werden.

 

Bug im Media Manager bei Update zu 1.5.13 und funktionierender Work-Around

Wenn man im Backend auf den Media Manager klickt wird gibt es einen Fatal Error:

Fatal error: Call to a member function authorize() on a non-object in /var/www/apache2-default/DGP_joomla1.5/administrator/components/com_media/views/media/tmpl/default.php on line 64

Dies kommt daher das die Methode authorise() nicht zur verfügung steht. Die betreffende Zeile 64 lautet:

Dies kann man umgehen in dem man die Klasse und die Methode in der Datei direkt initialisiert und aufruft:

 

Dies ist schon im Bugsquad von Joomla aufgenommen worden.

Update 13:02 Uhr

Bessere Möglichkeit den Fehler zu Patchen: Die Datei administrator/components/com_media/views/media/tmpl/default.php bleibt wie sie war und anstelle dessen wird die Datei administrator/components/com_media/views/media/view.html.php um folgenden Eintrag um Zeile 90 ergänzt:

$user =& JFactory::getUser();
$this->assignRef('user', $user);