Startseite 
Joomla Joomla 1.0.11 tötet deine Mambots
Joomla Joomla 1.0.11 tötet deine Mambots | Joomla 1.0.11 tötet deine Mambots |
Artikel bookmarken:
| 29.08.2006 | |
|
Letzte Nacht ist die neue Version der 1.0.x-Reihe von Joomla erschienen. Sie schließt wieder einige Sicherheitslücken - und macht darüber hinaus die Verwaltung der Mambots unbrauchbar. Mit mehrtägiger Verzögerung wurde Version 1.0.11 veröffentlicht und nun doch als dringend empfohlenes Sicherheitsrelease deklariert. Einige schwere Sicherheitslücken wurden behoben. Allerdings enthält diese Version wieder einmal einen eklatanten Fehler: Versucht man in der Administration unter "Mambots", die Einstellungen eines Mambots zu verändern, so wird lediglich eine Fehlermeldung "Restricted access" ausgegeben, und anschließend der betreffende Mambot als ausgecheckt markiert. Ein Moderator hat hier einen schnellen Fix zur Verfügung gestellt. Dieser behebt das Problem. (Hinweis: Man muss dort im Forum angemeldet sein, um Dateianhänge sehen zu können.) Ein neues Feature fällt eher in die Rubrik "Kuriositätenkabinett": Bei der Installation bzw. in der Administration wird nun eine Warnung angezeigt, wenn die verwendete Joomla-Version älter als 30 Tage ist. Ob das einer Selbstverpflichtung des Joomla-Teams gleichkommt, zukünftig in diesem Zyklus neue Versionen zu veröffentlichen, darf dann doch sehr stark bezweifelt werden. Eine echte Versionsprüfung - d.h. die Software telefoniert zum Heimatserver und sieht nach, ob eine neue Version verfügbar ist - wäre erheblich sinnvoller gewesen. Trotz des derzeit stark erhöhten Sicherheitsbedarfs hat man sich entschlossen, die Emulation der globalen Variablen standardmäßig eingeschaltet zu lassen. In diesem Fall wird allerdings mit einer gelb unterlegten Meldung in der Administration an den Benutzer appelliert, diese Einstellung zu ändern.
Dies ist nicht konsequent gedacht, allenfalls verschiebt es die Verantwortung für eventuelle Sicherheitsprobleme auf den Benutzer. Meine klare Empfehlung ist es jedenfalls, in der Datei globals.php - wie ich hier beschrieben habe - die Emulation auszuschalten und Komponenten, die daraufhin nicht mehr funktionieren, den Laufpass zu geben. Weg mit den alten Zöpfen.
In der neuen .htaccess-Datei finden sich darüber hinaus einige Regeln, mit denen die häufigsten Angriffe auf Joomla-Installationen standardmäßig abgewehrt werden können. Wer sein Joomla von einer früheren Version updatet, sollte darauf achten, die neuen Regeln in seine .htaccess mit aufzunehmen. (Die Verwendung einer solchen Datei setzt den Apache-Webserver voraus.) Noch ein Tipp zum Update: Es häufen sich die Meldungen von Benutzern, bei denen offenbar nicht alle Dateien durch den Patch überschrieben werden konnten. Hierbei hilft es, die Site offline zu setzen (dies kann in der Administration oder auch durch den Eintrag $mosConfig_offline = '1'; in der Datei configuration.php geschehen) und dann erst die neuen Dateien aufzuspielen. Anschließend kann die Site wieder online gesetzt werden. Verwandte Artikel:Keine verwandten Artikel gefundenKommentare (10)
Danke
geschrieben von Marko Master, 29.08.2006
Für den Artikel der hilft mir sehr weiter, denn da warte ich doch auf das nächste Update.
Mfg Marko Master
Wir warten dann doch lieber...
geschrieben von Jan, 29.08.2006
Hallo
Dieses mal hab ich ganz bewußt mit dem Update gewartet und wollte nicht als erster Versuchkaninchen spielen. Die derzeitige Versionspolitik soll noch jemand verstehen. Wie ich bereits bei mir schrieb sehe ich im Moment nichts mehr von einem "stable" und was man darunter versteht. Da wandern fröhlich neue (unsinnige) Funktionen in den Core und sorgen für mehr Probleme als man mit dem Update beheben wollte. Sollte sich diese Richtung nicht langsam ändern dürfte es schwer fallen den Benutzern klar zu machen warum sie ausgerechnet Joomla nehmen sollen. Spätestens Updates für die Updates werfen kein gutes Licht auf die ganze Geschichte. Gruß Jan
"warten..." sagen auch die Kunden.
geschrieben von gb, 29.08.2006
ACK -- ich betreue z.Z. fünf Sites mit Joomla und die Kunden fragen mich langsam, warum ich DAS empfohlen habe. Vielleicht für meine Rente? Mal sehen, was Heute Abend alles nicht mehr funktioniert
 Gruß gb
Alle Pakete neu von mir gepackt...
geschrieben von Jan, 29.08.2006
Nabend
Ich habe mir jetzt die Mühe gemacht alle Pakete neu zu packen. Die deutschen Sprachfiles und der Fix aus dem Forum von Joomla.org sind bereits integriert. Einen Fix für den Fix für das Update kann man den Benutzern wohl kaum zumuten. Gruß Jan
Update Check
geschrieben von schlu, 29.08.2006
Im RC war noch die von Dir gewünschte Funktion "Live Check" integriert. Fände diese Lösung auch besser. Ich denke es war schlicht mehr ein technisches Problem, als mangelndes Bewusstsein dass es manchen Benutzern wohl nicht zuzutrauen ist selbst regelmäßig nach veröffentlichen updates zu suchen. Bei tausenden von Joomla Installationen die auf den Joomla Server zugreifen irgendwie verständlich. Welcher Nutzer will auch ein stink langsames Backend durch diese Versionsprüfung wenn mal wieder der Joomla Server zickt. Das kennt man auch vom VBBoard oder nicht. Ich meine das war ein guter Mittelweg.
Gruß
und wieder ne forenregistrierung... geschrieben von derkleinemarco, 10.10.2006
... wunderlich, dass ich mich schon wieder für ein Update bei einem Joomla-Forum registrieren muß. Ich dachte, ich hätt nun alle durch und wäre überall drin - doch MIST: da hab ich eins vergessen.
Aber die Verwaltung von Mambots ist es mir wert... Kommentar schreiben
Dieser Inhalt wurde gesperrt. Sie können keine Kommentare abgeben.
|
RSS feed Kommentare
Artikel bookmarken:
jedenfalls ist der Fix nicht mehr downloadbar, oder sollte ich blind sein ???