Update: WoltLab Suite 5.4.11 / 5.3.17 / 5.2.17 / 3.1.25

    • Offizieller Beitrag

    Wir haben soeben Updates für unsere Produkte freigegeben:

    • WoltLab Suite 5.4.11
    • WoltLab Suite 5.3.17
    • WoltLab Suite 5.2.17
    • WoltLab Suite 3.1.25

    Stabilitäts- und Fehlerbehebungsversionen (die 3. Stelle der Versionsnummer, auch als "patch releases" bekannt), beseitigen ausschließlich Fehler in der aktuellen Version und führen keine neuen Funktionen ein. Es wird ausdrücklich empfohlen, diese Updates anzuwenden.

    Sicherheitshinweis

    Wir haben einen Fehler entdeckt, bei dem ein bestimmtes Zeichen beim Einbetten von so genannten JSON-Strings im Template bei der Nutzung des |encodeJSON-Template-Modifier nicht korrekt maskiert wurden. Im Standardumfang war es lediglich möglich, dass bestimmte Nutzereingaben zu ungültigen strukturierten Daten für Suchmaschinen führten, ein Sicherheitsrisiko entstand dadurch nicht. Bei Erweiterungen und Apps von Dritten konnte es potentiell zur Ausführung von JavaScript kommen.

    Darüber hinaus haben wir ein weiteres Problem beim Forum entdeckt, bei dem es in bestimmten Konstellationen von Berechtigungen möglich war, auf Themen zu antworten, die man nicht sehen konnte. Dies konnte beispielsweise in Verbindung mit privaten Themen dazu führen, dass Antworten in fremden Themen erzeugt werden konnten. Es war zu keinem Zeitpunkt möglich auf diese Weise auf andere Beiträge oder sonstige Inhalte aus dem Thema zuzugreifen.

    Alle Installationen von WoltLab Cloud-Kunden wurden bereits aktualisiert.

    Aktualisierung einer bestehenden Installation

    Öffnen Sie die Administrationsoberfläche und rufen Sie den Menüpunkt Konfiguration > Pakete > Pakete auflisten auf. Klicken Sie dann auf den Button Updates suchen, diesen finden Sie rechts oberhalb der Paketauflistung.

    Bedeutende Änderungen

    Bitte beachten Sie, dass die unten stehende Liste nur die wichtigsten Änderungen enthält. Kleinere Korrekturen (u.a. Tippfehler) werden nicht separat aufgeführt.

    WoltLab Suite Filebase

    • Bei der Auflistung von Kommentaren in Boxen wurde manchmal der falsche Dateiname angezeigt. 5.4

    WoltLab Suite Forum

    • (SICHERHEIT): Die Sichtbarkeit von Themen wird jetzt bei der Prüfung der Antwort-Berechtigung korrekt berücksichtigt. Antworten anderer Benutzer oder sonstige Inhalte aus den Themen waren zu keinem Zeitpunkt sichtbar. 5.4 5.3 5.2 3.1

    WoltLab Suite Core

    • (SICHERHEIT): Die Maskierung von JSON-Strings mit dem |encodeJSON-Template-Modifier wurde korrigiert. Im Standardumfang war es lediglich möglich, dass bestimmte Nutzereingaben zu ungültigen strukturierten Daten für Suchmaschinen führten, ein Sicherheitsrisiko bestand nicht. Bei Erweiterungen und Apps von Dritten konnte es potentiell zur Ausführung von JavaScript kommen. 5.4 5.3 5.2 3.1
    • Die Erstellung von Datenbanktabellen bei der Installation von Apps, die die PHP-basierte DDL-API nutzen, wurde korrigiert. 5.4 5.3
    • Die Anzeige von optionalen Spalten bei der Filterung der Benutzerliste in der Administrationsoberfläche wurde korrigiert. 5.4
    • Die Verlinkung von Tabs der zweiten Ebene, beispielsweise in der Benutzergruppenverwaltung, wurde korrigiert. 5.4
    • Das Einfügen von Zeilenumbrüchen in Code-Blöcke wurde unter iOS korrigiert. 5.4
    • Bei der Aktualisierung des Titelbilds im Profil wird die Existenz einer WebP-Variante jetzt korrekt zurückgesetzt. 5.4
    • Der Aufruf einer existierenden CMS-Seite führt bei fehlenden Berechtigungen jetzt korrekt zu einer „Zugriff verweigert“ statt einer „Seite nicht gefunden“-Meldung. 5.4
    • Beim Einfügen von HTML aus Microsoft Word wurden einige Formatierungen nicht korrekt übernommen. 5.4
    • Das Einfügen von Elementen in eine sogenannte „ItemList“ wurde korrigiert. Dies betrifft beispielsweise die Eingabe von Tags. 5.4
    • Die Darstellung des Avatars in Zitaten wurde in Signaturen korrigiert. 5.4
    • Bei der Verwendung von WebP-Smileys werden die Dimensionen jetzt automatisch ermittelt. 5.4
    • Beim Stilexport werden versteckte Dateien im Bilderordner nicht mehr mit exportiert. Die Korrektur im letzten Update war unvollständig. 5.4
    • Der Versand von E-Mails über das SMTP-Verfahren gilt jetzt als offiziell als „Empfohlen“. Der Versand über das PHP-Verfahren ist aus technischen Gründen von diversen Einschränkungen betroffen. 5.4
    • Bei der Ersetzung von Medien durch kleine Bilder, die keine Thumbnails erzeugen, werden existierende Thumbnails jetzt korrekt zurückgesetzt. 5.4
    • Die PHP 8.1-Kompatibilität wurde verbessert. 5.4
    • Offizieller Beitrag

    WoltLab Suite 5.4.12 / 5.3.18 / 5.2.18 / 3.1.26

    Im vorhergegangenen Update erfolgte eine Anpassung des |encodeJSON-Template-Modifier um ein potentielles Sicherheitsproblem zu beseitigen. Als ungewollter Nebeneffekt wurden dadurch kodierte Zeichen in die erzeugten strukturierten Daten in Templates (wird von Suchmaschinen wie beispielsweise Google verwendet) eingefügt, die an dieser Stelle unzulässig waren. Dies führte zu keinen Sicherheitsproblemen, sorgte aber dafür, dass die Auswertung der strukturierten Daten abgelehnt wurde.

    Für Entwickler

    Der |json-Template-Modifier wurde in der Entwicklungsversion von WoltLab Suite 5.5 implementiert und dient als Ersatz für den |encodeJSON-Template-Modifier, der konzeptionelle Fehler aufweist. Wir haben uns zu einer Rückportierung in WoltLab Suite 3.1 und neuer entschieden, um das entstandene Problem zu korrigieren.

    Bei der Nutzung von JSON-Daten, insbesondere von ld+json-Inhalten, empfehlen wir den folgenden Commit als Vorlage für die Anpassung zu verwenden. Wir weisen darauf hin, dass die Entfernung der Anführungszeichen beabsichtigt ist, da |json intern auf die Funktionsweise von \json_encode() zurückgreift.

    Bedeutende Änderungen

    WoltLab Suite Blog

    • Die strukturierten Daten in Templates wurden fehlerhaft erzeugt. 3.1 5.2 5.3 5.4

    WoltLab Suite Calendar

    • Die strukturierten Daten in Templates wurden fehlerhaft erzeugt. 5.3 5.4

    WoltLab Suite Forum

    • Die strukturierten Daten in Templates wurden fehlerhaft erzeugt. 5.2 5.3 5.4

    WoltLab Suite Core

    • Die strukturierten Daten in Templates wurden fehlerhaft erzeugt. 3.1 5.2 5.3 5.4
    • Der |json-Template-Modifier wurde als Ersatz für |encodeJSON eingeführt. 3.1 5.2 5.3 5.4

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!