website
Update von zyrusthc.homeip.net auf phpkit 1.6.4_pl1
16.09.2007 - 23:45

Nach dem letzte Nacht durch eine Sicherheitslücke ein Angreifer den admin-Account übernommen hatte,
habe ich heute das Content Management System (CMS) erst auf Version 1.6.4 geupdatet und danach pl1 (PatchLevel1) aktualisiert.


Version 1.6.4 brachte folgende Neuerungen mit:


ZITAT VON http://www.phpkit.de/include.php?path=content&contentid=297
Funktionsänderungen der PHPKIT Version 1.6.4

Im Vordergrund unserer Entwicklungsarbeiten stand die systematische Überarbeitung des Programmcodes von PHPKIT. Die Schwerpunkte dieser Verbesserungen sind im Einzelnen:

Verbesserung der Systemsicherheit

Das Hauptaugenmerk lag hier auf der Behebung bekannter Sicherheitsproblematiken, im Einzelnen wurden Angriffspunkte für XSS-Attacken, SQL-Injections und Sicherheitslücken beim Dateiupload geschlossen. Weiterhin wurden Probleme mit ungeparstem Quelltext behoben. Zusätzlich besteht nun die Möglichkeit die Administration und das zentrale Scriptverzeichnis per .htaccess (Apache-Server) zu schützen. Neu eingeführt wird darüber hinaus, ein "Adminsessionsystem", das beim Betreten der Administration erneut die Eingabe des Passwortes erforderlich macht. Auf Wunsch des Administrators kann diese Funktion deaktiviert werden.

Spamschutz

Umfassender Spamschutz bei öffentlich zugänglichen Formularen unter Verwendung von Sicherheitsgrafiken. Beachten Sie das hierfür die PHP-Erweiterung gdLib erforderlich ist.

Leistungsoptimierung

An vielen Stellen wurden Datenbankanfragen und Scriptabläufe dahingehend geändert, dass es zu einer verringerten Serverbelastung und einer spürbaren Performancesteigerung kommt.

Neues Sitzungssystem

Das neue Sitzungsystem filtert Suchrobots aus dem Besucherzähler und gewährt zusätzlich u.a. Gästen auch die Anzeige von ungelesenen Beiträgen im Forum.

Fehlerbehebungen

Die Fehlerbeseitung wurde auch auf bekannte Programmfehler hin erweitert. Dies betrifft u.a. Counterbug, Probleme in der Administration mit der mktime()-Funktion. Weiterhin wurde das BB-Codescript dahingehend geändert, dass es nun korrekt in Firefox & Opera funktioniert. Die fehlende Option zur Löschung von FAQ-Kategorien wurde integriert.

Neue Verzeichnisstruktur

Die Verzeichnisstruktur wurde dahingehend umgestaltet, dass es nun ein zentrales Scriptverzeichnis gibt, welches ebenfalls per .htaccess geschützt werden kann.

Neu gestalter Administrationsbereich

Der Administrationsbereich wurde optisch überarbeitet und bietet nun mit seiner links ausgerichteten, einzeln aufklappbaren Navigation mehr Platz zum Arbeiten. Die Navigation im Administrationsbereich arbeitet nun intelligent und merkt sich den Status, welche Navigationspunkte geöffnet bzw. geschlossen waren. Des Weiteren bleibt die zuletzt angezeigte Seite im Hauptframe geöffnet.

Neues Setuptool

Die Installation wurde dahin gehend erweitert, dass es nun möglich ist, den Hauptadministratoraccount wiederherzustellen. Die Datenbankangaben können darüber hinaus nachträglich geändert werden (z.B. nach einem Serverwechsel). Das Setup stellt des Weiteren Funktionen zur Datenbankprüfung und Bereinigung zur Verfügung. Zum Schutz Ihrer Daten ist das Setup per Passwort schützbar.

Wir hoffen mit diesen Funktionserweiterungen und Neuerungen Ihr Interesse geweckt zu haben.. Das Update wird im Übrigen sowohl mit der Version 1.6.03 als auch mit 1.6.1 durchführbar sein.

Abschließend sei bemerkt das unsere Tests unter PHP 5 erfolgreich verlaufen sind. Wir werden weiter an Verbesserungen und der Kompatibilität zwischen PHP 5 und PHPKIT arbeiten.


Die Aktualisierung auf Patch Level 1 brachte folgende Neuerungen:


ZITAT VON http://www.phpkit.de/?path=content&contentid=352
PHPKIT Version 1.6.4 pl1 Patchnotes
Die folgenden Änderungen und Fehlerbehebungen wurden in der Version 1.6.4 pl1 gegenüber der Vorgängerversion 1.6.4 durchgeführt:

Global: Funktion gegen DOS-Attacken integriert
Global: Präventive Kapselung der Funktionen pkRmDir & pkMkDir
Global: Bei der Konfigurationsoption "Forennavigation" wurde der Punkt "Standardnavigation deaktivieren" entfernt
Global: Fehlerhafte Session-ID-Ersetzung korrigiert
Global: Die Routine zur Entfernung von Cookies wurde verbessert
Global: Es wurden div. Tippfehler korrigiert

Admanage: Fehlerhafte Verwendung des Datenbankobjektes behoben
Administration: Decodieren der Templatenamen beim Import von Styledateien behoben
Administration: Inhaltserstellung (Downloads): Fehlerhafte Downloadgrößenspeicherung wurde behoben
Administration: Verlinkung von Inhalten bei der Erstellung korrigiert
Administration: Suche nach Benutzer-ID etc. im Adminberich funktioniert nun wie vorgesehen
BB-Code: Doppelte Verlinkung von Bildern bei aktiviertem imageresize wurde behoben

BB-Code: Es wurde ein Fehler behoben der dazu führte das Text der auf lange Verlinkungen folgte nicht angezeigt wurde
Gästebuch: Es wurde ein Fehler behoben der verhinderte, das berechtigte Mitglieder einer Benutzergruppe, Gästebucheinträge nicht ändern konnten
Grafik: Die Grafik "download.gif" wurde nachbearbeitet und der transparente Druchbruch entfernt
Inhalte: Es konnten div. Inhalte vor dem Veröffentlichungszeitpunkt eingesehen werden
Inhalte: Bei Einsendungen muss der Sicherheitscode nun korrekt eingetragen werden (wenn aktiviert)
Inhalte: Die Backlinks in den PN's / E-Mails die bei der Einsendung von versandt werden wurden korrigiert

Inhaltsarchiv: Seitenverlinkung wurde korrigiert
Inhaltsarchiv: Der Inhaltstyp ging verloren bei Klick auf Thementitel - dieser Fehler wurde behoben
Navigation: Die Verlinkung von aufklappbaren Navigationskategorien wurde korrigiert
Navigationsbox "Community": Der Verweis "PN-Center" wird nun bei deaktivierter PN-Nutzung nicht mehr angezeigt
Navigationsbox "Kalender": Die Auswahl der Monate und Jahre funktioniert nun wie vorgesehen
Private Nachrichten: Ein Fehler im Zusammenhang mit ungeparstem Quelltext wurde behoben

Registrierung: Die erforderliche Länge von Benutzernamen (min./max.) wird nun angezeigt
Startseite: Die Anzeige der letzten News funktioniert nun wie vorgesehen
Lizenzbedingungen: Die Formulierung wurde in einem Punkt überarbeitet


Wir hoffen das unsere Community vorerst gegen solche Übergriffe geschützt ist.

Greeez Zyrusthc


Zyrusthc


gedruckt am 14.08.2020 - 16:07
http://zyrusthc-linux.no-ip.org/include.php?path=content&contentid=39