Page 1 of 1

CMSimple 4.4.2 - Sicherheitsupdate - security update

Posted: Thu 8. May 2014, 15:26
by Gert
Image Hallo,

CMSimple 4.4.2 steht zum Download bereit.

Die Sicherheitslücke, die der Grund für CMSimple 4.4.1 war, wurde noch in weiteren Dateien gefunden. In CMSimple 4.4.2 sind nun nahezu alle php Dateien gegen direkten Zugriff geschützt.

Wie schon gesagt, wenn register_globals deaktiviert (off) ist, besteht kein Problem. Auf den meisten Servern ist register_globals deaktiviert, seit php 5.3 ist es als veraltet (deprecated) eingestuft und wird in kommenden php Versionen nicht mehr enthalten sein. Auch heute schon ist register_globals = ON eine unübliche Einstellung, so dass auf den meisten Servern kein Problem besteht.

Weitere Neuheiten:
  • Versteckte Seiten können jetzt im Submenü angezeigt werden (konfigurierbar)
  • Im Login Formular kann jetzt optional ein Benutzername angegeben werden, dieser wird in der Logdatei protokolliert.
  • Kleines Problem auf Windows Servern behoben ("index.php" in der Adresszeile)
Ein Update CMSimple 4.0 => 4.4.2, mit dem alle CMSimple Installationen ab 4.0 problem- und schmerzlos aktualisiert werden können, steht auch wieder zur Verfügung.

Downloads: http://www.cmsimple.org/?Downloads___CMSimple

Viel Spass - Gert

==========================================================

Image Hello,

CMSimple 4.4.2 is available for download. This version is a security update.

The vulnerability, which was the reason for CMSimple 4.4.1, was also found in other files. In CMSimple 4.4.2 nearly all php files are protected against direct access now.

As I said, if register_globals is disabled (off) is, there is no problem. On most servers register_globals is disabled, since php 5.3 it is classified as deprecated and will no longer be included in upcoming versions of php. Already today, register_globals = ON is an unusual setting, so there should be no problem on most servers.

Other new features:
  • Hidden pages can be displayed in the submenu now (configurable)
  • In the login form now optionally a user name can be specified, this is logged in the log file.
  • Small problem on Windows Servers solved ("index.php" in the address line of the browser)
An Update CMSimple 4.0 => 4.4.2, for an easy and painless update of all installations of CMSimple 4.0 or higher, also is available.

Downloads: http://www.cmsimple.org/en/?Downloads___CMSimple

Have fun - Gert