Changelog
-
-
-
Die Forensoftware wurde auf aktuellen Stand gebracht:
ZitatWoltLab Suite Filebase
- Bei der Auflistung von Kommentaren in Boxen wurde manchmal der falsche Dateiname angezeigt. 5.4
WoltLab Suite Forum
- (SICHERHEIT): Die Sichtbarkeit von Themen wird jetzt bei der Prüfung der Antwort-Berechtigung korrekt berücksichtigt. Antworten anderer Benutzer oder sonstige Inhalte aus den Themen waren zu keinem Zeitpunkt sichtbar. 5.4 5.3 5.2 3.1
WoltLab Suite Core
- (SICHERHEIT): Die Maskierung von JSON-Strings mit dem |encodeJSON-Template-Modifier wurde korrigiert. Im Standardumfang war es lediglich möglich, dass bestimmte Nutzereingaben zu ungültigen strukturierten Daten für Suchmaschinen führten, ein Sicherheitsrisiko bestand nicht. Bei Erweiterungen und Apps von Dritten konnte es potentiell zur Ausführung von JavaScript kommen. 5.4 5.3 5.2 3.1
- Die Erstellung von Datenbanktabellen bei der Installation von Apps, die die PHP-basierte DDL-API nutzen, wurde korrigiert. 5.4 5.3
- Die Anzeige von optionalen Spalten bei der Filterung der Benutzerliste in der Administrationsoberfläche wurde korrigiert. 5.4
- Die Verlinkung von Tabs der zweiten Ebene, beispielsweise in der Benutzergruppenverwaltung, wurde korrigiert. 5.4
- Das Einfügen von Zeilenumbrüchen in Code-Blöcke wurde unter iOS korrigiert. 5.4
- Bei der Aktualisierung des Titelbilds im Profil wird die Existenz einer WebP-Variante jetzt korrekt zurückgesetzt. 5.4
- Der Aufruf einer existierenden CMS-Seite führt bei fehlenden Berechtigungen jetzt korrekt zu einer „Zugriff verweigert“ statt einer „Seite nicht gefunden“-Meldung. 5.4
- Beim Einfügen von HTML aus Microsoft Word wurden einige Formatierungen nicht korrekt übernommen. 5.4
- Das Einfügen von Elementen in eine sogenannte „ItemList“ wurde korrigiert. Dies betrifft beispielsweise die Eingabe von Tags. 5.4
- Die Darstellung des Avatars in Zitaten wurde in Signaturen korrigiert. 5.4
- Bei der Verwendung von WebP-Smileys werden die Dimensionen jetzt automatisch ermittelt. 5.4
- Beim Stilexport werden versteckte Dateien im Bilderordner nicht mehr mit exportiert. Die Korrektur im letzten Update war unvollständig. 5.4
- Der Versand von E-Mails über das SMTP-Verfahren gilt jetzt als offiziell als „Empfohlen“. Der Versand über das PHP-Verfahren ist aus technischen Gründen von diversen Einschränkungen betroffen. 5.4
- Bei der Ersetzung von Medien durch kleine Bilder, die keine Thumbnails erzeugen, werden existierende Thumbnails jetzt korrekt zurückgesetzt. 5.4
- Die PHP 8.1-Kompatibilität wurde verbessert. 5.4
-
- Foren-Software wurde aktualisiert.
- Community-Bot wurde aktualisiert.
-
Foren-Software wurde aktualisiert:
ZitatWoltLab Suite Filebase
- Die „Kunden, die diese Datei gekauft haben, kauften auch“-Box wird jetzt nur angezeigt, wenn es mindestens zwei Käufer gibt, um die Privatsphäre des ersten Käufers besser zu schützen. 5.4
- Der Importer von Dateiversionen überspringt jetzt Versionen die keiner Datei zugeordnet werden können, statt mit einer Fehlermeldung abzubrechen. 5.4
- Moderationsbenachrichtigungen über entfernte Label führen nicht mehr zu einer Fehlermeldung. 5.4
WoltLab Suite Core: Importer
- Invision Community 4.x
- Der Import von Themen mit großen Lücken in den IDs wurde korrigiert. 5.4
- Kennwörter, die mit BCrypt gehasht wurden, werden jetzt beim Import übernommen. 5.4
WoltLab Suite Core: Konversationen
- Konversationen, aus denen man vom Ersteller der Konversation entfernt wurde, wurden unter Umständen in der Liste von Konversationen fehlerhaft einsortiert. 5.4
- Bei Konversationen, aus denen man vom Ersteller der Konversation entfernt wurde, wurde unter Umständen in der Liste von Konversationen eine fehlerhafte „letzte Nachricht“ angezeigt. Jetzt erscheinen zuverlässig die Daten der letzten für den Teilnehmer sichtbaren Nachricht. 5.4 5.3
WoltLab Suite Core
- Nach dem Formatieren eines Wortes im Editor wurde der dazugehörige Button nicht unmittelbar als aktiv markiert. 5.4
- Ein Darstellungsproblem in den Benachrichtigungseinstellungen wurde behoben. 5.4
- Die Dateigröße wurde bei hochgeladenen Medien doppelt angezeigt. 5.4
- Die Beschränkung des Zugriffs nur auf eigene Medien wurde nicht durchgehend korrekt angewendet. 5.4
- Das Einfügen und Bearbeiten von Links im Editor funktionierte in iOS 15 nicht mehr. 5.4
- Eigene Einstellungen für Boxen bleiben bei Upgrades jetzt korrekt erhalten. 5.4
- Nachrichten blockierter Nutzer werden bei Verwendung eines Permalinks jetzt automatisch ausgeklappt. 5.4
- Die Darstellung von „Alert“-Boxen (Information / Erfolg / Warnung / Fehler) in Dialogen wurde korrigiert. 5.4
- Eine fehlerhafte Sprachvariable in der HTML-Variante von E-Mail-Benachrichtigungen für Kommentar-Antworten von Artikelkommentaren wurde korrigiert. 5.4
- Der Aufruf der cli.php führt unter PHP 8.0 nicht mehr zu einer Warnung. 5.4
- Für Entwickler: Die Synchronisierung von YEAR-Spalten mit der PHP DDL-API unter MySQL 8 wurde korrigiert. 5.4 5.3
- Für Entwickler: Das CheckboxFormField funktioniert jetzt korrekt in AJAX-Formularen. 5.4
-
Forensoftware wurde auf aktuelle Version geupdated:
ZitatSicherheitshinweis
Wir wurden darauf aufmerksam gemacht, dass es im Protokoll von Cronjobs im Falle eines Fehlers zu einer ungewollten Ausführung von HTML kommen kann. Dies kann dann auftreten, wenn ein Cronjob beispielsweise Daten von einer HTML-Seite abruft und im Fehlerfall beispielsweise HTML-Code als Fehlermeldung ablegt. Diese Schwachstelle lässt sich unseren Erkenntnis nach nicht gezielt durch einen Angreifer ausnutzen. Vielen Dank an dieser Stelle an SoftCreatR, der uns auf dieses Problem aufmerksam gemacht hat.
Ebenfalls wurde uns gemeldet, dass es beim Hochladen von Dateianhängen mit speziell präparierten Dateinamen zu einem sogenannten „Self-XSS“-Angriff kommen kann. Dies lässt sich ausschließlich unter Linux und macOS ausnutzen, Windows erlaubt die dafür notwendigen Zeichen im Dateinamen grundsätzlich nicht. Die Auswirkung ist auf den Benutzer selbst zum Zeitpunkt des Hochladens begrenzt, weitere Auswirkungen hat dies nicht. Diese Schwachstelle kann grundsätzlich nicht für einen Angriff auf andere Benutzer oder Besucher der Seite ausgenutzt werden.
Alle Installationen von WoltLab Cloud-Kunden wurden bereits aktualisiert.
Aktualisierung einer bestehenden Installation
Öffnen Sie die Administrationsoberfläche und rufen Sie den Menüpunkt Konfiguration > Pakete > Pakete auflisten auf. Klicken Sie dann auf den Button Updates suchen, diesen finden Sie rechts oberhalb der Paketauflistung.
Bedeutende Änderungen
Bitte beachten Sie, dass die unten stehende Liste nur die wichtigsten Änderungen enthält. Kleinere Korrekturen (u.a. Tippfehler) werden nicht separat aufgeführt.
WoltLab Suite Calendar
- Beim Wechsel auf einen anderen Monat wurde der Filter nach Labels verworfen. 5.4
- Label-Gruppen konnten irrtümlich nur für die ersten Ebenen von Kategorien eingestellt werden. 5.4
WoltLab Suite Filebase
- Label-Gruppen konnten irrtümlich nur für die ersten Ebenen von Kategorien eingestellt werden. 5.4
- Beim Aufruf einer nicht existierenden Datei wurde eine fehlerhafte Meldung erzeugt. 5.4 5.3
- Deaktivierte Versionen können jetzt auch von den „weiteren Autoren“ einer Datei eingesehen werden. 5.4
WoltLab Suite Forum
- Die Erzeugung von Direktlinks auf eine gefilterte Themenliste konnte in seltenen Fällen ungültige Links erzeugen. 5.4
WoltLab Suite Core: Importer
- vBulletin 5.x
- Der Import von Argon2-Kennwörtern wurde korrigiert.
WoltLab Suite Core
- (SICHERHEIT): HTML in der Fehlermeldung von fehlgeschlagenen Cronjobs wird im Cronjob-Protokoll jetzt korrekt maskiert. 5.4 5.3 5.2 3.1
- (SICHERHEIT): HTML wird in der Anzeige des Dateinamen während des Uploads eines Dateianhangs jetzt korrekt maskiert. Nach Abschluss des Uploads und beim Editieren eines Inhalts (bspw. Beitrags) war das Verhalten bereits korrekt. 5.4 5.3 5.2 3.1
- Das Erwähnen von Benutzergruppen mit nicht-lateinischen Buchstaben wurde korrigiert. 5.4
- Das automatische Ausklappen von blockierten Inhalten bei einem Direktlink in WoltLab Suite 5.4.14 wurde rückgängig gemacht, da es unerwartete Auswirkungen auf die Benutzererfahrung hatte. 5.4
- In den Editor eingefügte Links unter iOS und Android landen nicht mehr am Textanfang. 5.4
- Die Erkennung von IPv4-Adressen mit der StopForumSpam-Integration wurde korrigiert. 5.4 5.3
- Leere Benutzerprofilfelder vom Typ labeledUrl werden nicht mehr im Profil angezeigt. 5.4
- Die Verarbeitung von Suchbegriffen in Anführungszeichen wurde bei Verwendung der MySQL-basierten Suche korrigiert. 5.4
- Die Rich Embeds ignorieren jetzt alle nicht-HTTP-Links, anstatt zu versuchen diese erfolglos abzurufen. 5.4
- Unbekannte Kodierungen der abgerufenen Webseite führen bei den Rich Embeds nicht mehr dazu, dass eine Fehlermeldung geloggt wird. 5.4
- Label-Gruppen konnten irrtümlich nur für die ersten Ebenen von Kategorien eingestellt werden. 5.4
- Die Benutzererfahrung bei der Auswahl von Objekten (bspw. eines Forenbereichs) zur Konfiguration eines Menüpunktes wurde verbessert. 5.4
- Die Markierung von zitierbaren Texten führt unter Android / Chrome Mobile beim Überfahren des Zitiermenüs nicht mehr dazu, dass die ganze Seite markiert wird. 5.4
- Beim Absenden eines Formulars mit fehlerhaften Eingaben wurde der richtige Tab nicht automatisch geöffnet. 5.4
- Die Suche in Profilfeldern mit Dezimalzahlen normalisiert jetzt die lokalisierte Such-Eingabe des Benutzers. 5.4
- Die Fehlermeldung bei ungültigen Eingaben für Profilfelder für Ganzzahlen wurde verbessert. 5.4
- Die Berücksichtigung von Wörtern, die kürzer als die minimale Länge zur Aufnahme in den MySQL-Suchindex sind, wird nicht mehr erzwungen. Ohne diese Änderung wurden die Suchergebnisse ausgefiltert, in denen die Wörter alleinstehend vorkommen und lediglich Ergebnisse zurückgeliefert, in denen diese Wörter als Wortbestandteil auftauchen. 5.4
- Für Entwickler: Fehlerkorrekturen an den Dev Tools. 5.4
- Für Entwickler: Deaktivierte Eingabefelder für die Datumsauswahl wurden nicht korrekt initialisiert. 5.4
- Für Entwickler: Der Escape-Key in Dialogen löst nun den Callback für onBeforeClose aus. 5.4
- Für Entwickler: Die Fehlerbehandlung für fehlerhafte $limit und $offset-Parameter in ->prepare() und ->prepareStatement() wurde verbessert. 5.4 5.3
-
- Alle Services und co. wurden geupdated.
-
Forensoftware wurde geupdated:
ZitatBedeutende Änderungen
Bitte beachten Sie, dass die unten stehende Liste nur die wichtigsten Änderungen enthält. Kleinere Korrekturen (u.a. Tippfehler) werden nicht separat aufgeführt.
WoltLab Suite Blog
- Die Löschung eines Blogs mit Artikeln ist jetzt nur noch möglich, wenn man die Berechtigung zum Löschen von Artikeln hat. 5.4
- Die Berechtigung zum Erstellen von Artikeln wird jetzt auch für Benutzergruppen als Co-Autor korrekt berücksichtigt. 5.4
WoltLab Suite Forum
- Menüpunkte die direkt auf ein privates Forum verweisen zeigen jetzt korrekt die Anzahl der ungelesenen Themen. 5.4
WoltLab Suite Gallery
- Das gleichzeitige Bearbeiten von Bildern unterschiedlicher Mitglieder führt nicht mehr zu einer Fehlermeldung. 5.4
WoltLab Suite Core: Importer
- IP.Board 3.4.x
- Der Galerie-Import wurde korrigiert. 5.4
- Die Kompatibilität mit MySQL 8 wurde korrigiert. 5.4
- vBulletin 3.x/4.x
- Forenbereiche werden nicht mehr fehlerhaft als Kategorien importiert. 5.4
WoltLab Suite Core
- Fehlerhafte Umleitung bei Links zu unzugänglichen Artikeln. 5.4
- Bei der Aktualisierung von Benutzern wurden Titelbilder im GIF-Format nicht korrekt verarbeitet. 5.4
- Die Ausrichtung von eingebetteten Dateianhängen wurde in einigen Fällen nicht richtig dargestellt. 5.4
- Bei verschachtelten Dialogen wurden Tastatur-Befehle fehlerhaft interpretiert. 5.4
- Sehr kleine Dateianhänge wurden in der Vorschau verzerrt dargestellt. 5.4
- Es wurden mehrere Verbesserungen an der Vorverarbeitung von Suchbegriffen für die MySQL-basierte Suche vorgenommen. 5.4
- Die externe guzzlehttp/psr7-Bibliothek wurde aktualisiert, um einen Fehler bei der Validierung von HTTP-Headern zu korrigieren. 5.4 5.3
- Anpassung von favico.js zur Vermeidung eines Fehler beim Einsatz unter Firefox 100. 5.4
- Der Cache wird jetzt nach dem Anlegen neuer Sprachvariablen über die Administrationsoberfläche korrekt zurückgesetzt. 5.4
- Ein Darstellungsfehler bei leeren Code-Boxen wurde korrigiert. 5.4
- Für Entwickler: Die PHP-DDL-API lehnt ->defaultValue()-Werte für BLOB und TEXT-Spalten jetzt ab, da diese in älteren MySQL-Versionen nicht und in neueren Versionen nur inkonsistent zwischen MySQL und MariaDB unterstützt werden. Ergänzend sollte auch dieser Pull Request beachtet werden: https://github.com/WoltLab/WCF/pull/4733 5.4
-
- Alle Server & Co. wurden auf aktuellen Stand gebracht.
-
Forensoftware wurde auf aktuelle Version geupdated:
ZitatWoltLab Suite Forum
- In der Liste der Beiträge eines Benutzers fehlte bei gelöschten Beiträgen die Angaben zur Löschung. 5.4
WoltLab Suite Gallery
- Die Slideshow verarbeitete Bilder von gelöschten Benutzern fehlerhaft. 5.4
WoltLab Suite Core: Importer
- vBulletin 5.x
- Antworten auf Umfrage-Themen werden jetzt korrekt importiert. 5.4
WoltLab Suite Core
- Kursiver und Unterstrichener Text wird beim Kopieren aus Google Docs jetzt korrekt übernommen. 5.4
- Die Vergabe von Trophäen an einen selbst versendet jetzt keine Benachrichtigung mehr. 5.4
- Bei Benachrichtigungen zu Kommentaren in Artikeln wurde manchmal der falsche Benutzername angezeigt. 5.4
- Vimeo und YouTube erwarten zur erfolgreichen Einbettung, dass der HTTP-Referrer gesendet wird. Die Einbettung in den Medien-Anbietern für die beiden Dienste enthält jetzt eine explizite Angabe des referrerpolicy-Attributs, um etwaige Referrer-Policy-Header des Webservers zu überschreiben. 5.4
- Es wurden Verbesserungen an der Vorverarbeitung von Suchbegriffen für die MySQL-basierte Suche vorgenommen. 5.4
- Die Sitemap für Seiten berücksichtigt jetzt korrekt die Invertierung der Zugriffsrechte. Zuvor wurden potentiell Seiten gelistet, die für Suchmaschinen nicht sichtbar waren. 5.4
- Die Implementierung des phpass-Algorithmus für Überprüfung importierter Kennwörter wurde korrigiert. 5.4
- Duplikate von Smiley-Codes wurden bei unterschiedlicher Schreibweise nicht sofort erkannt. 5.4
- Probleme bei der Abfrage von Paket-Servern konnten fehlerhaftes HTML erzeuge.5.4 5.3 5.2 3.1
- Konsequente Prüfung auf inkompatible PHP-Version zur Vermeidung von (versteckten) Fehlern. 5.4 5.3 5.2 3.1
- Die Auswahl des Empfängers im Kontakt-Formular wird jetzt korrekt visuell als Pflichtfeld hinterlegt. 5.4 5.3
- Für Entwickler: Die externe guzzlehttp/guzzle-Bibliothek wurde aktualisiert, um einen Fehler bei der Validierung von Cookies zu korrigieren. 5.4 5.3
- Für Entwickler: UserAvatarAction::fetchRemoteAvatar() überprüft die Berechtigung zur maximalen Avatar-Dateigröße nicht mehr. 5.4
-
- Alle Server & Co. wurden auf aktuellen Stand gebracht.
-
WoltLab Suite Core
- Das mehrfache Editieren von Spoiler-Titeln im Editor führt nicht mehr dazu, dass der Webbrowser sich aufhängt. 5.4
- Die externe guzzlehttp/guzzle-Bibliothek wurde aktualisiert, um einen Fehler bei der Verarbeitung von Umleitungen mit Zugangsdaten zu korrigieren. 5.4 5.3
- Im Formular zur Bearbeitung von Kategorien wird jetzt ordnungsgemäß überprüft, dass die Art der Kategorie zum Formular passt. So ist es beispielsweise nicht mehr möglich, dass Smiley-Kategorien über das Formular für Artikel-Kategorien editiert werden. 5.4 5.3
- Der automatische Wechsel zu Tabs mit ungültigen Feldern beim Absenden von Formularen die ein Tabmenü enthalten wurde korrigiert. 5.4
- Für Entwickler: Die Aktualisierung von Foreign Keys über die PHP-DDL-API enthält jetzt einen Workaround für Foreign Keys, die durch einen Fehler in frühen MySQL 8-Versionen mit falscher Groß-/Kleinschreibung in Spaltennamen angelegt wurden.
- Für Entwickler: Das FetchCompilerTemplatePlugin ist jetzt deprecated. 5.4
- Für Entwickler: Das AbstractCategoryEditForm ist jetzt wirklich abstract. 5.4
-
WoltLab Suite Calendar
- Der Export eines einzelnen Termins mit aktivierter Wiederholung führt nicht mehr zu einer Fehlermeldung. 5.5
WoltLab Suite Forum
- Der Hauptmenü-Eintrag für „Ignorierte Themen“ wird jetzt ordnungsgemäß beim Upgrade von WoltLab Suite 5.4 hinzufügt. In bereits von 5.4 aktualisierten Communitys wird der Eintrag ebenfalls ergänzt. 5.5
- Bei mehreren Themen mit gleichem Zeitpunkt der letzten Antwort in einem Forum ist die Anzeige des letzten Beitrags in der Forenübersicht jetzt konsistent mit der Sortierreihenfolge der Themen im Forum. 5.5
- Beim Löschen von Themen wurden die Dateianhänge und Umfragen nicht vollständig gelöscht. 5.4
- Beim Bearbeiten von Startbeiträgen ohne Umfragen konnte es zu einem Fehler kommen. 5.4
WoltLab Suite Filebase
- Korrekturen für PHP 8.1. 5.5
WoltLab Suite Gallery
- Korrekturen für PHP 8.1. 5.5
- Verschiedene kleinere Korrekturen. 5.4
WoltLab Suite Core: Importer
- Nicht-funktionale Änderungen. 5.5
WoltLab Suite Core: Konversationen
- Für Entwickler: Ein neues Event nach dem Erstellen von Nachrichten wurde bereitgestellt. 5.5 5.4
WoltLab Suite Core: WebAuthn
- Es werden jetzt Sicherheitsschlüssel mit Key-Handles mit einer Länge von bis zu 1023 Byte – der standardisierten Maximallänge – unterstützt. Das Limit lag zuvor bei 255 Byte. 5.5 5.4
WoltLab Suite Core
- Die Moderationsübersicht enthält jetzt einen Link zur Liste gelöschter Inhalte. 5.5
- Die Eingabe von Zugangsdaten bei Durchführung von Updates über den Paketserver führt nicht mehr zu einer Fehlermeldung. 5.5
- Beim Ändern der Fenstergröße wird die Position von geöffneten Benutzermenüs aktualisiert. 5.5
- Der Farbwähler kann jetzt mit Enter abgesendet werden. 5.5
- Nach Erstellung eines Artikels werden die Felder für Meta-Titel und -Beschreibung jetzt korrekt zurückgesetzt. 5.5
- Verschiedene Korrekturen für die Darstellung von Fehlermeldungen bei Falscheingaben im FormBuilder. 5.5
- Das Verhalten der Suche im Header auf mobilen Geräten wurde verbessert. 5.5
- Thumbnails im Image-Viewer wurden manchmal gestaucht dargestellt. 5.5 5.4
- Stile können in der Administrationsoberfläche jetzt auch auf mobilen Endgeräten (de)aktiviert werden. 5.5
- Ein JavaScript-Fehler in Umfragen für Gäste wurde korrigiert. 5.5
- Die Kompatibilität mit PHP vor 8.0 bei der Verarbeitung von Editor-Texten mit Zitaten wurde korrigiert. 5.5
- Paketserver, die ein bereits installiertes Paket ausliefern, für das über diesen Paketserver der Zugriff auf keine Version zulässig ist, führen unter PHP 8.1 nicht mehr zu einer Fehlermeldung. 5.5
- Beim Einfügen von Grafiken wird der Fokus automatisch auf das erste Eingabefeld gesetzt. 5.5
- Die Ausführung von „Alle als gelesen markieren“ im Benutzermenü entfernt nun auch die Tab-Markierung. 5.5
- Die Berechnung der nächsten Ausführungsstunde von Cronjobs wurde korrigiert. 5.5
- Der Cache wird jetzt nach Löschung von Sprachvariablen korrekt zurückgesetzt. 5.5
-
Forensoftware wurde auf aktuellen Stand gebracht:
Update: WoltLab Suite 5.5.4 / 5.4.22 - WoltLab®Wir haben soeben Updates für unsere Produkte freigegeben: WoltLab Suite 5.5.4 WoltLab Suite 5.4.22 Stabilitäts- und Fehlerbehebungsversionen (die 3. Stelle…www.woltlab.com -
- TinyIMG wurde auf aktuelle Version geupdated.
-
- Forensoftware wurde auf aktuelle Version geupdated:
Update: WoltLab Suite 5.5.5 / 5.4.23 / 5.3.25 - WoltLab®Wir haben soeben Updates für unsere Produkte freigegeben: WoltLab Suite 5.5.5 WoltLab Suite 5.4.23 WoltLab Suite Calendar 5.3.25 Stabilitäts- und…www.woltlab.com -
- Forensoftware wurde auf aktuelle Version geupdated:
Update: WoltLab Suite 5.5.6 / 5.4.24 / 5.3.25 - WoltLab®Wir haben soeben Updates für unsere Produkte freigegeben: WoltLab Suite 5.5.6 WoltLab Suite 5.4.24 WoltLab Suite 5.3.25 Stabilitäts- und…www.woltlab.com -
- Server und Software wurden auf aktuellen Stand gebracht.
-
- Server und Software wurden auf aktuellen Stand gebracht.
-
-