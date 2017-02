Im Bereich der großen CMS und Blog-Systeme gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die Updates aus dem Januar stellen wir euch hier kurz vor.

Joomla

Für das Joomla-CMS gibt es nun die zweite Alpha-Version für den 3.7-Release. (Grafik: joomla.org)

Das Joomla-Team hat am 19. Januar die zweite Alpha für 3.7.0 veröffentlicht. Damit wird der „Multilingual Associations Manager“ eingeführt, der die Übersetzung von Inhalten in eine andere Sprache in einem Interface erlaubt. Außerdem lässt sich über den „Backend Admin Menu Manager“ ein eigenes Admin-Menü anlegen, das neben dem normalen existiert.

3.7.0 Alpha 2

„Multilingual Associations Manager“ hinzugefügt, sodass Inhalte in einem Interface übersetzt werden können.

„Backend Admin Menu Manager“ hinzugefügt, der das Anlegen eines eigenen Admin-Menüs erlaubt.

WordPress

Am 11. Januar wurde der Sicherheits- und Wartungs-Release WordPress 4.7.1 vorgestellt. Die neue Version behebt acht Sicherheitslücken – unter anderem in PHPMailer, der REST-API und im Dateiupload – sowie Bugs. Mehr Infos zu der neuen Version findet ihr in unserem Beitrag „Wichtiges Update: WordPress 4.7.1 schließt acht kritische Sicherheitslücken und behebt zahlreiche Bugs“.

Am 26. Januar wurde mit 4.7.2 ein weiterer Sicherheits-Release veröffentlicht. Damit werden drei Sicherheitslücken geschlossen – so konnte das User-Interface für die Zuweisung von Taxonomie-Termen in „Press This“ von unautorisierten Nutzern eingesehen werden, WP_Query war anfällig für eine SQL-Injection und eine Cross-Site-Scripting-Lücke wurde in der Beitragslistentabelle gefunden.

4.7.1

Fixed: Remote-Code-Execution-Lücke in PHPMailer, die durch WordPress Core und die großen Plugins allerdings wohl nicht ausgenutzt werden konnte.

Fixed: Cross-Site-Scripting über den Plugin-Namen oder den Versions-Header möglich.

Fixed: Schwache Sicherheit des Aktivierungsschlüssels für Multisite.

4.7.2

Fixed: UI für Zuweisung von Taxonomy-Termen in „Press This“ war für unberechtigte Nutzer zugänglich.

Fixed: WP_Query war anfällig für eine SQL-Injection, wenn unsichere Daten übergeben werden. Der Core von WordPress war nicht direkt über diese Lücke angreifbar.

war anfällig für eine SQL-Injection, wenn unsichere Daten übergeben werden. Der Core von WordPress war nicht direkt über diese Lücke angreifbar. Fixed: XSS-Lücke in der Listentabelle von Beiträgen.

Typo3 CMS

Am 3. Januar wurde TYPO3 CMS 8.5.1 sowie entsprechende Updates für den 7er- und 6er-Zweig veröffentlicht. Die Version behebt eine Remote-Code-Execution-Lücke in dem Drittanbieter-Paket swiftmailer/swiftmailer .

8.5.1

Fixed: Remote-Code-Execution-Lücke in swiftmailer/swiftmailer .

Neos

Am 30. Januar hat das Neos-Team Neos 3.0 und Flow 4.0 veröffentlicht. Für die neue Version wurde viel Code refaktoriert, so wurde der neue Neos-Namespace eingeführt und TypoScript 2 ist nun Neos Fusion. Außerdem unterstützt die neue Version PHP 7.1 und nutzt PSR-4-Autoloading statt wie bisher PSR-0. Mehr Infos dazu findet ihr in unserem Beitrag „Neos 3.0 veröffentlicht: Core-Team-Mitglied Christian Müller im Interview“.

3.0

Viel Code-Refaktorierung.

Neuer Neos-Namespace.

Unterstützung für PHP 7.1.

Contao

Bei Contao wurden verschiedene Updates herausgebracht, hier die für den aktuellen 4er-Zweig: Am 18. Januar ist Contao 4.3.3 erschienen. Der Release übernimmt Bugfixes aus 3.5 und behebt ein Problem bei der Erstellung von Symlinks. Am 26. Januar wurde mit Contao 4.3.4 die erste Version veröffentlicht, die es auch als „Managed-Version“ gibt. Hierbei werden viele Prozesse automatisiert, wie etwa „die manuelle Registrierung der Bundles oder die Nachpflege der Config-Dateien nach einem Update“, wie im Ankündigungsbeitrag zu lesen ist.

4.3.3

Fixed: Problem mit Symlinks, wenn öffentliche Ordner ineinander verschachtelt sind.

4.3.4

Einführung der Managed-Edition.

Ghost

Am 12. Januar wurde Ghost 0.11.4 vorgestellt. Mit der neuen Version können Redirects als JSON-Datei definiert und AMP optional gemacht werden. Zudem wurden unter anderem die Validierung von Abonnenten-E-Mail-Adressen erweitert und ein Admin-Redirect gefixt, wenn Ghost in einem Unterverzeichnis genutzt wird.

0.11.4