Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

WordPress, Joomla und mehr: Die wichtigsten CMS-Updates im November

Im Bereich der großen Content-Management-Systeme und einer Blog-Software gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die Updates aus dem November stellen wir euch hier kurz vor.

Hinweis: Wir konzentrieren uns hier auf Updates der neuesten Versionszweige und führen Updates für ältere Zweige nicht auf.

WordPress

WordPress bringt mit Version 4.9 einige Verbesserungen im Customizer und bei der Code-Bearbeitung. (Grafik: About-Seite von WordPress 4.9)

Am 16. November wurde WordPress 4.9 veröffentlicht, und der Release bringt einige Neuerungen und Verbesserungen mit. So können Änderungen im Customizer nun als Entwurf gespeichert und/oder für die Veröffentlichung geplant werden. Außerdem wurde unter anderem ein Syntax-Highlighter für Code-Felder eingefügt und es können nun von Haus aus Shortcodes in Widgets genutzt werden. Mehr Informationen dazu gibt es in unserem Beitrag „WordPress 4.9 mit Verbesserungen bei Customizer und Code-Bearbeitung ist da“.

Am 29. November wurde der Sicherheits- und Wartungs-Release 4.9.1 vorgestellt, der vier Sicherheitslücken schließt und elf Bugs behebt. So können Nutzer ohne die unfiltered_html-Berechtigung keine Javascript-Dateien mehr hochladen, für den newbloguser-Schlüssel wird ein richtig erzeugter Hash verwendet, die im html-Element genutzten Sprachattribute werden escaped und die Attribute von „Enclosures“ werden in RSS- und Atom-Feeds jetzt korrekt escaped.

4.9

  • Hinzugefügt: Customizer-Änderungen können als Entwurf gespeichert und zur Veröffentlichung geplant werden.
  • Hinzugefügt: Galerie-Widget.
  • Hinzugefügt: Syntax-Highlighting für Plugin- und Theme-Editoren sowie das CSS-Feld im Customizer und das HTML-Widget.

4.9.1

  • Fixed: Vier Sicherheitslücken.
  • Fixed: Javascript-Fehler von Mediaelement hat verhindert, dass Nutzer bestimmter Sprachen Dateien hochladen konnten.
  • Fixed: Auf Windows-Servern konnten die Theme- und Plugin-Dateien nicht bearbeitet werden.
Anzeige

Joomla

Am 7. November wurde Joomla 3.8.2 vorgestellt, womit neben Bugfixes auch Fixes für drei Sicherheitslücken ausgerollt wurden. So gab es im LDAP-Authentifizierungs-Plugin eine Information-Disclosure-Lücke, durch die Username und Passwort preisgegeben werden konnten. Zudem war es durch einen Bug möglich, die Zweifaktor-Authentifizierung zu umgehen, und durch eine weitere Information-Disclosure-Lücke konnten Read-Only-Informationen über die Custom Fields der Site eingesehen werden.

3.8.2

  • Fixed: Drei Sicherheitslücken geschlossen.
  • Fixed: Unterkategorien im Blog nur anzeigen, wenn der Nutzer Zugriff hat.
  • Fixed: Tags wurden durch jede Massenaktion und beim Umsortieren via Drag-&-Drop gelöscht.

Contao

Contao 4.4.8 wurde am 15. November veröffentlicht und behebt eine SQL-Injection-Sicherheitslücke im Backend und Listing-Bundle.

4.4.8

  • Fixed: SQLi-Sicherheitslücke im Backend und in dem Listing-Bundle.

Neos

Das Neos-Team hat am 9. November Neos 3.2.1 herausgebracht. Der Release enthält einige Bugfixes, so wurde ein Problem mit zu langen URIs beim Laden von Medien-Metadaten behoben und gecachte Inhaltsbereiche können jetzt in dynamische verschachtelt werden.

3.2.1

  • Fixed: Falscher Pfad zum Übersetzungs-Ordner in der Dokumentation.
  • Fixed: Request-URIs bei der Nutzung vieler Assets im „AssetEditor“ wurden zu lang und warfen einen Fehler.
  • Fixed: Gecachte Inhaltsbereiche konnten nicht in dynamische verschachtelt werden.

Kirby

Bei Kirby 2.5.7 vom 13. November handelt es sich neben einem Bugfix-Release auch um einen Sicherheits-Release. Es wurden zwei Sicherheitslücken geschlossen, wobei es sich einmal um eine Directory-Traversal-Lücke handelt, die es einem Angreifer erlaubte, über das Plugin-Assets-Feature oder das Field-Assets-Feature alle Dateien eurer Kirby-Installation zu lesen. Bei der anderen handelte es sich um eine XSS-Lücke, die auftrat, wenn im Panel eine speziell präparierte SVG-Datei angezeigt wurde, die als Content-Datei hochgeladen wurde.

2.5.7

  • Fixed: Zwei Sicherheitslücken.
  • Fixed: Nutzer-Avatare können jetzt auch durch einen mit einem anderen Dateityp ersetzt werden.
  • Fixed: Upload-Probleme in IE 11.

Sulu

Am 14. November wurde Sulu 1.6.7 veröffentlicht. Die neue Version verbessert unter anderem die Analytics-Implementation und behebt das Matching für URLs mit deutschen Umlauten. Am 21. November wurde Version 1.6.8 vorgestellt. Der Release behebt ein Problem, bei dem die Startseiten-Route nicht matcht, und ermöglicht die Bearbeitung der Veröffentlichungszeit.

1.6.7

  • Fixed: Liste im Sulu-Adminbereich zeigte nur für die aktuelle Umgebung Analytics an.
  • Fixed: Irreführende Sicherheitswarnung beim Ändern der Berechtigungen eines Nutzers.
  • Fixed: Matching von Umlauten in URLs.

1.6.8

  • Fixed: Startseiten-Route matcht nicht.
  • Geändert: Zeit der Veröffentlichung lässt sich nicht bearbeiten.

Craft CMS

Das Craft-Team hat am 8. November die Versionen 2.6.2996 und 2.6.2997 veröffentlicht. Erstere fügt unter anderem die Methoden UserGroupsService::getAssignableGroups() und UserPermissionsService::getAssignablePermissions() hinzu, letztere behebt einen Bug, bei dem Craft einen Eintrag speichert, wenn versucht wird, den Eintragstyp zu ändern.

Am 28. November wurde 2.6.2998 vorgestellt, in der unter anderem das eigene Styling für select-Elemente nun auch in Firefox und IE sowie Edge angewandt wird und PhpMailer auf 5.2.26 aktualisiert wurde. Außerdem wurde eine XSS-Lücke im Control-Panel geschlossen. Version 2.6.2999 vom 29. November behebt ein Problem mit PHP-5.3-Kompatibilität.

2.6.2996

  • Geändert: Die „Assign user groups and permissions“-Berechtigung wurde in die Berechtigungen „Assign user permissions“ und „Assign user groups“ aufgeteilt.
  • Fixed: DateTimeHelper::wasYesterday() gab zurück, ob der Timestamp in UTC gestern war statt in der System-Zeitzone.
  • Fixed: Autovervollständigungs-Menü im Tag-Feld wurde nicht ausgeblendet.

2.6.2997

  • Fixed: Craft speicherte Einträge bei dem Versuch, den Eintragstyp zu wechseln.

2.6.2998

  • Geändert: Performance einiger Anfragen an die templatecaches-Tabelle verbessert, wenn der globally-Cache-Tag-Parameter mit einer großen Anzahl von Daten genutzt wird.
  • Fixed: XSS-Sicherheitslücke im Control-Panel.
  • Fixed: Craft dachte beim Verlassen einer Seite, ein Rich-Textfeld wurde verändert, obwohl das nicht der Fall war.

2.6.2999

  • Fixed: Problem mit PHP 5.3.

Ghost

Bei Ghost war an Releases einiges los. Version 1.16.2 vom 2. November hebt die Mindestanforderung bei Node v8 auf mindestens 8.9.0 an und behebt unter anderem einen Fehler, bei dem angezeigt wurde, dass jemand anders gerade einen Inhalt bearbeitet, obwohl das nicht der Fall war. Am 7. November wurde Ghost 1.17.0 vorgestellt, womit beispielsweise der neue Theme-Helper {{reading_time}} eingeführt und die maximale Länge einer Tag-Beschreibung auf 500 Zeichen angehoben wurde.

Am 9. November hat das Team den 1.17.1-Release veröffentlicht, der unter anderem die erlaubte Länge von Tag-Namen und -Slugs sowie Nutzernamen erhöht und Admin-Styles für die mobile Ansicht verbessert. Version 1.17.2 vom 14. November behebt neben anderen Dingen einen Paginierungsfehler sowie einen Fehler bei der Facebook-URL-Validierung für Gruppen-URLs. Am 16. November wurde Ghost 1.17.3 veröffentlicht, womit das Fehlen von Fehlermeldungen bei einem fehlgeschlagenen Import behoben wird und alle Slack-kompatiblen Webhook-URLs in der Slack-App erlaubt sind.

1.18.0 wurde am 21. November vorgestellt und enthält eine Datenbank-Migration, um zukünftige Funktionen zu unterstützen, sowie einen Fix für das Problem, dass Slugs das Datenbank-Limit überschreiten. Am 29. November ist Ghost 1.18.1 herausgebracht worden, womit die Fehlerbehandlung von fehlenden Bildern auf einem File-Storage verbessert und die Fehlermeldung bei falscher Nutzung der Paginierung verbessert werden. Direkt am 30. November wurde Version 1.18.2 nachgeschoben, die ein Problem mit nicht angezeigtem Blog-Icon im Menü sowie mit nicht responsiven Upload-Buttons behebt.

1.16.2

  • Fixed: Hinweis, dass jemand anders gerade bearbeitet, wurde fälschlicherweise angezeigt.
  • Hinzugefügt: Warnung, wenn man einen Screen mit ungespeicherten Änderungen verlassen wollte.

1.17.0

  • Hinzugefügt: {{reading_time}}-Theme-Helper.
  • Fixed: Passwortfeld wurde bei Verlassen einer Team-/Nutzer-Seite nicht geleert.
  • Fixed: custom_excerpt wurde nicht in RSS-Feed genutzt.

1.17.1

  • Es wurden einige fehlende Längen-Validierungen zu Datenbankfeldern hinzugefügt – das betrifft euch nicht, wenn ihr den Standard-Admin von Ghost oder Ghost Desktop nutzt, aber wenn ihr die private API oder Drittanbieter-Clients verwendet eventuell schon.
  • Fixed: Fehler für Passwort-Authentifizierung mit Bearer-Token.
  • Fixed: Elastic-Scroll-Probleme im Admin auf iOS.

1.17.2

  • Hinzugefügt: „Featured Posts“-Filter und Badge für „Stories list“.
  • Fixed: Fehler mit Paginierung.
  • Fixed: Gleichzeitiges Erneuern von Access-Tokens.

1.17.3

  • Fixed: Fehlende Fehlermeldungen bei fehlgeschlagenen Import.
  • Fixed: Alle Slack-kompatiblen Webhook-URLs in Slack-App erlauben.

1.18.0

  • Fixed: Slugs überschreiten das Datenbank-Limit.
  • Datenbank-Migration, um zukünftige Funktionen zu unterstützen.

1.18.1

  • Fixed: Fehlerbehandlung für HTML-Antworten.
  • Verbesserte Fehlerbehandlung für fehlende Bilder von File-Storages.
  • Verbesserte Fehlermeldung für falsche Nutzung von Paginierung.

1.18.2

  • Fixed: Fehler bei Zeiteingabefeldern, wenn die führende Null weggelassen wurde.
  • Fixed: Upload-Buttons waren nicht responsive.
  • Fixed: Blog-Icon fehlte in Menü.

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hinweis

Du hast gerade auf einen Provisions-Link geklickt und wirst in Sekunden weitergeleitet.

Bei Bestellung auf der Zielseite erhalten wir eine kleine Provision – dir entstehen keine Mehrkosten.


Weiter zum Angebot