[Frage] MM Forum Security Update für 1.9.3 im TER verfügbar TYPO3-Version: -

  • Velletti Velletti
    R2-D2
    0 x
    83 Beiträge
    3 Hilfreiche Beiträge
    13. 02. 2014, 09:50

    Gestern dachte, ich dass ENDLICH die neue mm Forum 2.0 Version veröffentlich wurde, da ich ein Update der Extension im Ter gesehen habe, aber es war NUR :-) ein Security Update :

    Siehe auch :
    [url]http://typo3.org/news/article/several-vulnerabilities-in-extension-mm-forum-mm-forum/[/url]

    [b]Hauptsächliche Änderungen:[/b]
    [b][/b]Es wird noch beim Schreiben eines Post/Topics ein token erzeugt, der später beim Speichern abgefragt wird und die hochgeladenen Dateitypen werden zusätzlich gegen die erlaubten Dateitypen in Typo 3 geprüft.

    Siehe auch die diff Datei, die ich aus dem Update habe.

    Grüße
    Jörg

    PS: kann einer der Moderatoren mal hier aufräumen und in den oben angeklebten Beiträge aufräumen ??

    Typo3 seit 2010. Multilinguale (> 8 ) , Multi-Domain Installation aktuell unter 4.5.x LTS:
    Main used Extension: DAM, REAL URL, Powermail, tt_address, tt_news, cal, MM_forum (fork), Community (fork), Diversen eigenen extbase/Fluid extension

    Anhänge (1)
    test.txt text/x-diff 0,00 B 262 heruntergeladen

  • 1
  • Velletti Velletti
    R2-D2
    0 x
    83 Beiträge
    3 Hilfreiche Beiträge
    13. 02. 2014, 12:06

    wie kann ich eigentlich aus einer "Frage" hier im Forum einen "normalen" beitrag machen?

    Jörg
    PS: das halte ich übrigends für einen BUG: ich wollte die Diff Datei anhängen, hatte brav den haken : "ist eine Frage" deaktiviert", bekam dann den Hinweis das .diff nicht als Dateityp erlaubt sei, aber das Optionskästchen "Frage" war wieder aktiviert.

    Typo3 seit 2010. Multilinguale (> 8 ) , Multi-Domain Installation aktuell unter 4.5.x LTS:
    Main used Extension: DAM, REAL URL, Powermail, tt_address, tt_news, cal, MM_forum (fork), Community (fork), Diversen eigenen extbase/Fluid extension

  • Velletti Velletti
    R2-D2
    0 x
    83 Beiträge
    3 Hilfreiche Beiträge
    14. 02. 2014, 10:55

    Bug seit dem Update auf 1.9.3:

    Bearbeiten eigener Beiträge oder bearbeiten Beiträge anderer user als Forumsadmin geht erst, nach dem man einen eigenen Beitrag/Antwort erstellt hat, da nur dann die Funktion

    1. $this->generateToken();

    aufgerufen wird. Und ohne Token in der Session, fehlt dem Bearbeiten Button der Token.

    ich habe des halb in der mmforum_pi1.php -> Main() function das eingefügt :

    1. // j.v. 14.2.2014 maybe this helps
    2. if ( $GLOBALS["TSFE"]->fe_user->getKey('ses', "token") == '' ) {
    3. $this->generateToken();
    4. }

    Typo3 seit 2010. Multilinguale (> 8 ) , Multi-Domain Installation aktuell unter 4.5.x LTS:
    Main used Extension: DAM, REAL URL, Powermail, tt_address, tt_news, cal, MM_forum (fork), Community (fork), Diversen eigenen extbase/Fluid extension

  • Stan Stan
    R2-D2
    0 x
    81 Beiträge
    0 Hilfreiche Beiträge
    19. 02. 2014, 10:51

    Für alle mit dem selben Problem
    Folgende alternative Lösung hat bei mir 1A geklappt, und zwar ohne harten Eingriff in die eigentlichen Ext-Dateien und entsprechenden Verdruss beim nächsten Update. In den Templates "new post" und "new topic" muss jeweils folgende Zeile enthalten sein:

    1. <input type="hidden" name="tx_mmforum_pi1[token]" value="###TOKEN###" />

    Den richtigen Ort bekommt man über den Vergleich mit der ursprünglichen Standard-Version raus. Steht hier: [url]http://www.marshut.com/ipvvrt/typo3-ext-sa-2014-001-update-mm-forum.html[/url]

  • Velletti Velletti
    R2-D2
    0 x
    83 Beiträge
    3 Hilfreiche Beiträge
    19. 02. 2014, 11:01

    Hi Stan:

    das ist in meinen Augen nur halb richtig: (aber inzwischen gibt es ja auch eine Version 1.9.5, mal schauen ob das da behoben ist)

    die von dir angegebene zeile habe ich in meinen templates. Das hilft aber nur, zum erstellen eines Beitrags oder zum beantworten einer Frage.

    Wenn du aber (z.b. als Forumsadmin) dich einloggst, und dann einen beitrag bearbeiten willst, wurde die Funktion
    $this->generateToken();
    noch nciht aufgerufen.

    D.h. du hast in der user session noch keinen Wert Token.

    damit darfs du keine Beiträge bearbeiten.

    [b]Abhilfe ohne eingriff in die extension:[/b]
    erstellen eines NEUEN Beitrags, den gar nicht speichern, dann darfst du auch bestehende Beiträge bearbeiten ...

    Typo3 seit 2010. Multilinguale (> 8 ) , Multi-Domain Installation aktuell unter 4.5.x LTS:
    Main used Extension: DAM, REAL URL, Powermail, tt_address, tt_news, cal, MM_forum (fork), Community (fork), Diversen eigenen extbase/Fluid extension

  • Stan Stan
    R2-D2
    0 x
    81 Beiträge
    0 Hilfreiche Beiträge
    19. 02. 2014, 11:36

    Hi,

    ist auch in der 1.9.5 nicht korrigiert. Dafür wurde aber der Bug in der Suche [url]http://forge.typo3.org/issues/31587[/url] endlich mal behoben :):)

  • 1