cms -db

Version 0.6 von cms -db steht ab sofort im Downloadbereich zur Verfügung.

Neu in dieser Version ist vor allem die Möglichkeit zur Lokalisierung. Eine komplette englische Übersetzung wird in einer der nächsten Versionen von cms -db folgen. Außerdem gibt es jetzt im Adminbereich Tabs und einen neuen Editor (beides nur mit aktiviertem Javascript). Unter Umständen kann es vorkommen, dass nach dem Bearbeiten einer Seite in XHTML-kompatiblen Browsern eine Fehlermeldung erscheint, weil das ausgegebene Dokument nicht korrekt ist. Dies tritt nur beim Ersten Bearbeiten einer Seite mit dem neuen Editor auf und lässt sich durch erneutes Öffnen und Speichern der Seite ohne weitere Änderungen beheben. Eine Liste aller Änderungen ist in der Versionsübersicht verfügbar.

Ein Update auf die neue Version wird dringend empfohlen, weil ein Bug gefunden wurde, durch den es möglich war, beliebige Dateien innerhalb des PHP open basedir anzuzeigen. Dadurch war es möglich, die Zugangsdaten des Hauptbenutzers auszulesen. Da es bei einem Update unter Umständen zu Problemen kommen kann, ist ein vorheriges Backup empfehlenswert.

Infos zur Sicherheitslücke

Je nach Version kann die Sicherheitslücke über verschiedene URLs ausgenutzt werden. Bei aktiviertem URL-Rewriting ergeben sich durch den Bug keine Sicherheitsprobleme.

• Version 0.4.2 und älter: /cms/page/index.php?/../../admin/user.inc.php
• Version 0.4 UNFERTIG: /index.php?/../admin/user.inc.php oder wie bei Version 0.4.1 und älter
• Version 0.5 und 0.5.1: /cms/index.php?/../../data/users/root.php

Die Daten werden in vielen Webbrowsern nicht in der HTML-Ausgabe ausgegeben, sondern sind nur in der Quelltextansicht. Unter mir unbekannten Bedingungen kann es auch vorkommen, dass die Daten überhaupt nicht ausgegeben werden.