Joomla, Ghost und mehr: Die wichtigsten CMS-Updates im Juli
Hinweis: Wir konzentrieren uns hier auf Updates der neuesten Versionszweige und führen Updates für ältere Zweige nicht auf.
Joomla
Das Joomla-Team hat am 4. Juli Joomla 3.7.3 vorgestellt. Dabei handelt es sich um einen Sicherheits-Release, der zwei Cross-Site-Scripting-Lücken und eine Information-Disclosure-Lücke schließt. Daneben beinhaltet die neue Version auch Bugfixes. Auch Version 3.7.4 vom 25. Juli behebt Sicherheitslücken – eine ungenügende Besitzer-Verifikation bei der Installation und eine XSS-Lücke.
3.7.3
- Fixed: Information-Disclosure-Sicherheitslücke.
- Fixed: XSS-Lücke bei Eingabe-Validierung.
- Fixed: XSS-Lücke in verschiedenen Komponenten durch unzureichende Filterung von Multibyte-Zeichen.
3.7.4
- Fixed: Mangelnde Prüfung auf Besitz des Webspaces beim Installationsvorgang.
- Fixed: XSS-Lücke durch unzulängliche Filterung von potenziell gefährlichen HTML-Tags in verschiedenen Komponenten.
- Fixed: Fatal Error für Multilingual-Sites auf PHP 5.3.
TYPO3 CMS
Am 4. Juli wurde TYPO3 8.7.3 veröffentlicht. Dabei handelt es sich um einen reinen Wartungs- und Bugfix-Release, der unter anderem Leerzeichen in der Liste von Dateierweiterungen erlaubt. Auch Version 8.7.4 vom 25 Juli behebt lediglich Bugs – unter anderem wird nun wieder der richtige Sprach-Key für die Indexed-Search genutzt.
8.7.3
- Fixed: Nicht funktionierende CDATA-Nutzung aus JS-Template-Datei entfernt.
- Fixed: Namespace von PHPunit-Exception.
- Fixed: Fehlenden Frontend-Check beim Holen von View-Konfiguration hinzugefügt.
8.7.4
- Fixed:
video/x-m4v
ist nun ein unterstützter Mime-Type inVideoTagRenderer
. - Fixed: Nachricht anzeigen, wenn kein Extension-Repo im Extension-Manager existiert.
- Fixed: Thumbnails nicht in Dateiliste und Datei-Selektor duplizieren.
Neos
Das Neos-Team hat am 7. Juli Neos 3.1.3 veröffentlicht. Der Release nutzt jetzt strikte Vergleiche in Fluid-Templates, um „Nesting-level“-Fehler zu vermeiden. Am 27. Juli wurde Version 3.1.4 rausgebracht, mit der ein SQL-Fehler beim Hin- und Herbewegen eines Knotens in einem verschachtelten Workspace behoben wird. Zudem wird jetzt der Content-Cache bei Änderungen an einem Asset geleert.
3.1.3
- Fixed: Nur Links zu zugänglichen Knoten anzeigen.
- Fixed: Fehlende Übersetzung im Datei-Upload-Inspektor.
- Fixed: Strikter Vergleich in Fluid-Templates.
3.1.4
- Fixed: Keine Ausgabe eines Leerzeichens im
class
-Attribut, wennattributes.class
nicht gesetzt ist. - Fixed: Deaktivierte Module werden jetzt auch in Submodul-Ansichten versteckt.
- Fixed: SQL-Fehler beim Hin- und Herbewegen eines Knotens in einem verschachtelten Workspace.
Contao
Contao 4.4.1 vom 12. Juli behebt eine Sicherheitslücke, bei der ein angemeldeter Backend-Benutzer beliebige PHP-Dateien auf dem Server ausführen kann. Am 25. Juli wurde Contao 4.4.2 veröffentlicht, womit die Probleme mit dem neuen DCA-Picker behoben werden, sodass er nun auch von normalen Backend-Benutzern verwendet werden kann.
4.4.1
- Fixed: Backend-Benutzer kann über Manipulation eines URL-Parameters beliebige PHP-Datei auf Server ausführen.
4.4.2
- Fixed: Probleme mit neuem DCA-Picker aus 4.4.0.
Craft CMS
Am 14. Juli wurde Craft 2.6.2987 vorgestellt. Die Version behebt eine Cross-Site-Scripting-Lücke im Control-Panel und fügt jp2
sowie jpx
zur Liste der erlaubten Dateitypen hinzu. Der 2.6.2988-Release vom 28. Juli behebt unter anderem zwei Sicherheitsprobleme. So konnten Admins beliebige ZIPs vom Server herunterladen und der volle Server-Pfad angezeigt werden, wenn der Dateiname bei einem Upload mehr als 255 Zeichen hat.
2.6.2987
- Geändert: Plugin-Einstellungen werden nun gesetzt, nachdem alle Plugin-Klassen geladen sind.
- Fixed: PHP-Error, wenn ein Rich-Text-Feld auf ein nicht mehr vorhandenes Asset verweist.
- Fixed: PHP-Error bei Nutzung von HTML-Purifier in einem Rich-Text-Feld.
2.6.3988
- Geändert:
m2t
-Dateien sind nun standardmäßig erlaubt und werden jetzt als Videos behandelt. - Geändert: Bilder innerhalb von Feld-Instruktionen bekommen eine Maximalbreite von 100 Prozent.
- Fixed: PHP-Error beim Loggen eines Deprecation-Fehlers in
DepreactorService
.
Kirby
Kirby 2.5.2 wurde am 4. Juli vorgestellt und behebt unter anderem einen Fehler beim Erstellen eines neuen Nutzers im Panel und ein kaputtes Layout für das Überschriften-Feld, wenn keine Beschriftung gesetzt wurde.
2.5.2
- Hinzugefügt: Option, die Nummerierung im Überschriften-Feld zu deaktivieren.
- Fixed: Fehler bei Radiobuttons, Checkboxen und Toggles, wenn keine Beschriftung gesetzt wurde.
- Fixed:
css()
– undjs()
-Helper akzeptieren jetzt ein Array mit eigenen HTML-Attributen, wie etwadefer
.
Ghost
Am 18. Juli wurde Ghost 0.11.11 rausgebracht. Die Version behebt einige Fehler und ist als Vorbereitung für die Migration zu Ghost 1.0 gedacht. Am 27. Juli wurde dann Ghost 1.0 vorgestellt. Enthalten sind unter anderem ein komplett neuer Editor, Nachtmodus, ein verbesserter Importer und ein überarbeitetes Standard-Theme.
0.11.11
- Hinzugefügt: Vorwärtskompatibilität für Ghost-1.0-Themes.
- Fixed: Validierung des Beitragsdatums beim Import.
- Fixed: Automatisches Speichern für neue Beiträge funktioniert jetzt wieder.
1.0
- Hinzugefügt: Neuer Editor.
- Geändert: Überarbeitung des Standard-Themes.
- Hinzugefügt: Konfiguration über „Nconf“, Logging mit „Bunyan“ und Debug-Ausgabe über „Debug“.
Sulu
Das Sulu-Team hat am 10. Juli Sulu 1.6.1 veröffentlicht. Die neue Version behebt unter anderem ein Problem mit der URL-Generierung für die Domain-Root-Seite sowie mit 404-Seiten für nicht übersetzte URLs. Am 31. Juli wurde Version 1.6.2 vorgestellt, die einen Fehler beim Download von Dateien ohne Erweiterung sowie ein Problem mit der Vorschau-Funktion unter https behebt.
1.6.1
- Fixed: Encoding von Dateinamen in Download-URLs.
- Fixed: Smart Content im Snippet-Bundle funktioniert nicht.
- Fixed: Problem mit URL-Generierung für Domain-Root-Seite.
1.6.2
- Fixed: Übersetzung für SEO-Restriktionen in
en/nl/fr
. - Fixed: Indiziert richtige Sprache des Shadow-Dokuments.
- Fixed: Problem bei Vorschau mit https.
Hi,
bzgl Kirby passiert gerade recht viel. Bastian hat Kirby Next gestartet und arbeitet an der dritten Version. Siehe https://marcthiele.com/notes/follow-the-creation-of-kirby-3
Gruß,
/marc
Hi Marc,
danke für den Hinweis! Trage ich doch direkt mal ins Redaktions-Tool ein :)
Viele Grüße
Florian