cms -db

Version 0.6 von cms -db steht ab sofort im Downloadbereich zur Verfügung.

Neu in dieser Version ist vor allem die Möglichkeit zur Lokalisierung. Eine komplette englische Übersetzung wird in einer der nächsten Versionen von cms -db folgen. Außerdem gibt es jetzt im Adminbereich Tabs und einen neuen Editor (beides nur mit aktiviertem Javascript). Unter Umständen kann es vorkommen, dass nach dem Bearbeiten einer Seite in XHTML-kompatiblen Browsern eine Fehlermeldung erscheint, weil das ausgegebene Dokument nicht korrekt ist. Dies tritt nur beim Ersten Bearbeiten einer Seite mit dem neuen Editor auf und lässt sich durch erneutes Öffnen und Speichern der Seite ohne weitere Änderungen beheben. Eine Liste aller Änderungen ist in der Versionsübersicht verfügbar.

Ein Update auf die neue Version wird dringend empfohlen, weil ein Bug gefunden wurde, durch den es möglich war, beliebige Dateien innerhalb des PHP open basedir anzuzeigen. Dadurch war es möglich, die Zugangsdaten des Hauptbenutzers auszulesen. Da es bei einem Update unter Umständen zu Problemen kommen kann, ist ein vorheriges Backup empfehlenswert.

Infos zur Sicherheitslücke

Je nach Version kann die Sicherheitslücke über verschiedene URLs ausgenutzt werden. Bei aktiviertem URL-Rewriting ergeben sich durch den Bug keine Sicherheitsprobleme.

• Version 0.4.2 und älter: /cms/page/index.php?/../../admin/user.inc.php
• Version 0.4 UNFERTIG: /index.php?/../admin/user.inc.php oder wie bei Version 0.4.1 und älter
• Version 0.5 und 0.5.1: /cms/index.php?/../../data/users/root.php

Die Daten werden in vielen Webbrowsern nicht in der HTML-Ausgabe ausgegeben, sondern sind nur in der Quelltextansicht. Unter mir unbekannten Bedingungen kann es auch vorkommen, dass die Daten überhaupt nicht ausgegeben werden.

Der aktuelle Stand von Version 0.6:

• Es werden Kurz-URLs verwendet (z.B. index.php?versteckte-seite statt index.php?/05,Versteckte_Seite.DEL)
• Erstellung einer XML-Sitemap (noch auf neue URLs zu aktualisieren)
• Überarbeitung des Gästebuchs (kein lästiger Sicherheitscode mehr)
• Verwendung von Tabs im Adminbereich
• WYMeditor statt TinyMCE
• Ausgabe der Seiten als XHTML
• Neues Standardtemplate
• Verbesserte Suchfunktion

Noch zu erledigen sind die Umstellung sämtlicher Textausgabe im Adminbereich auf eine eigens für cms -db entwickelte Lokalisierungs-Klasse (aktuell sind ~25 von ~70 Dateien geändert) sowie die Möglichkeit, einzelnen Seiten Meta-Tags zuzuordnen (Entwurf für erweitertes Seitenformat fertig).

Eine Testversion von cms -db 0.6 sowie die komplette Liste der Änderungen sind im Testbereich verfügbar.

cms -db 0.6 wird in der Vollversion des Adminbereichs Tabs verwenden und über Sprachdateien lokalisierbar sein. Außerdem wird es eine Funktion zum Ändern der Meta-Tags von einzelnen Seiten geben.

Die Version 0.4 von cms -db ist fertig! Sie enthält folgende neue Funktionen:

• Möglichkeit zum Ändern des angezeigten Namens von 01,Home (Startseite)
• Suche ohne Cache
• Überarbeitung von /page/index.php
• Variablen für $beforeurl, $afterurl und $absoluteurl
• mehrere Benutzer möglich
• neue Icon-Navigation im Adminbereich
• PclZip wird zum Erstellen und Entpacken von Backups verwendet.
• Bugfixes für Gästebuch
• Neues Standarddesign der erstellten Website (altes Design von cms-db.de)
• Update auf TinyMCE 3
• Neues Symbol für "Webseitenvorschau"
• Neuer An- und Abmeldebildschirm
• Warnmeldung beim Abmelden
• Recycling-Center
• Möglichkeit zum Umbenennen von Dateien und Includes
• Bugfix für Opera

Außerdem wird der Adminbereich nach 3-maliger Falscheingabe des Passwortes nicht mehr gesperrt.