WBCE CMS - Korrektur: Wichtige Hinweise zu älteren Versionen sowie zu mpform

Guten Tag!

wenn etwas schief geht, dann gleich richtig: in der vorhin versandten Version war leider bei der Info zu mpform ein sinnentstellender Tippfehler und der Text in der Plain-Text-Version des Newsletters war abgeschnitten. Aus diesem Grund hier nun die korrigierte Fassung des Newsletters.

a) Sicherheitshinweis für WBCE 1.1.x und 1.2
Jetzt patchen oder updaten - WBCE 1.3 nicht betroffen

auch wenn die Version 1.3 ja schon seit einiger Zeit bereitsteht und zahlreiche Verbesserungen bereit hält, hat sich der eine oder andere ja noch nicht an eine Aktualisierung seiner bestehenden Website(s) herangetraut - und auch ich bin zugegebenermaßen verantwortlich für eine ganze Reihe von Seiten, die noch mit 1.1 oder 1.2 laufen.

Bei diesen älteren Seiten kann es unter sehr speziellen Umständen und mit etwas krimineller Energie möglich sein, das Loginprocedere zu umgehen und sich somit unberechtigt Zugriff zum Backend zu verschaffen. Das soll natürlich nicht so sein, und auch wenn kein Grund besteht, sofort alles stehen und liegen zu lassen, sollte dieses Risiko natürlich doch bei nächster Gelegenheit beseitigt werden.

Dafür gibt es zwei einfache Optionen.

Zum einen steht ein Patch bereit - damit müssen einfach nur eine Hand voll Dateien auf den Server kopiert werden - und das war es schon. Den Patch und Installationshinweise gibt es hier:
https://wbce.org/topics/sicherheitshinweis-fuer-wbce-1.1.x-und-1.2/

Zum anderen wäre das ein guter Anlass für ein Update auf 1.3 - beachtet man die Updatehinweise, ist auch dies mit sehr überschaubarem Aufwand verbunden und bringt dann auch gleich zahlreiche weitere Verbesserungen mit sich. Wichtig ist, wie gesagt, die Updatehinweise zu beachten:
https://forum.wbce.org/viewtopic.php?pid=14409#p14409

b) Problem mit mpform, WBCE 1.3 und https
Datenverlust unter bestimmten Umständen - jetzt prüfen und ggf. patchen oder updaten

Auf manchen Servern tritt mit dem Modul mpform der zugegebenermaßen ärgerliche Umstand auf, dass das Formular nicht verarbeitet wird und Benutzereingaben im Nirvana verschwinden. Beobachtet wurde dies in der Kombination WBCE 1.3, (ausgerechnet) sicherer Verbindung (also dass die Website über https läuft) und mpForm-Version vor 1.3.14.

Bitte prüft daher dringend, ob Eure Seite(n) von dem genannten Problem betroffen sind.
Auch hier gibt es zwei Optionen:
- entweder die /modules/mpform/evalform.php austauschen
- oder ein Update auf mpform 1.3.14.
Für beides gibt es die entsprechenden Downloads im Add-On-Repository von WBCE:
https://addons.wbce.org/pages/addons.php?do=item&item=2

Wir entschuldigen uns für die Umstände. Bei Fragen oder Problemen sind wir via Forum natürlich gern für Euch da.

Frohes Schaffen weiterhin

Florian Meerwinck
Projektmanagement & Support WBCE CMS