Sicherheitspatch für phpCMS 1.2.x - Anleitung ============================================= Um eine in phpCMS 1.2.x entdeckte Sicherheitslücke zu schließen, muß die Datei parser/include/class.layout_phpcms.php durch die in diesem Archiv vorhandene Version ersetzt werden. Wer benötigt diesen Patch? -------------------------- Versionen vor phpCMS 1.2.0 beta 1 (z.B. alle 1.1.x Versionen) sind nicht von dieser Sicherheitslücke betroffen. Doch da eine Reihe anderer (zum Teil auch sicherheitsrelevanter) Änderungen seit den 1.1.x Versionen gemacht wurden, raten wir jedem User einer alten 1.1.x Version dringend zum Update auf die neueste erhältliche phpCMS Version, die unter http://www.phpcms.de/download gefunden werden kann. Anwendern von phpCMS 1.2.0 beta1, 1.2.0 beta2, 1.2.0 rc1, 1.2.0 und 1.2.1 wird empfohlen, Ihre gesammte phpCMS Installation auf die neueste erhältliche phpCMS Version, die unter http://www.phpcms.de/download gefunden werden kann, zu aktualisieren, falls Sie phpCMS mit der eingeschalteten Option "Debug Modus" laufen lassen. Wir empfehlen nachdrücklich, phpCMS nicht auf öffentlich zugänglichen Webservern mit eingeschaltetem Debug Modus laufen zu lassen. Falls Sie dennoch darauf bestehen und eine der oben genannten phpCMS Versionen verwenden, sollten Sie auf die neueste phpCMS Version aktualisieren, da in der Version 1.2.1pl1 ein sicherheitsrelevanter Fehler behoben wurde, der allerdings nur bei eingeschalteten Debug Modus zu tragen kommt. Anwender von phpCMS 1.2.0 beta1, 1.2.0 beta2, 1.2.0 rc1, 1.2.0 und 1.2.1, die phpCMS wie empfohlen mit ausgeschaltetem Debug Modus laufen lassen, müssen nicht Ihre komplette phpCMS Installation aktualiseren. Sie können durch ersetzen der Datei parser/include/class.layout_phpcms.php die Sicherheitslücke schließen. Anwender von phpCMS 1.2.1pl1 (das 'pl1'am Ende macht den Unterschied!) brauchen Ihre phpCMS Installation nicht auf phpCMS 1.2.1pl2 zu aktualisieren, da die Änderung in der Datei parser/include/class.layout_phpcms.php der einzige Unterschied zwischen diesen Versionen is. Dementsprechend reicht es, die betreffende Datei zu ersetzen. Anwender von phpCMS 1.2.1pl2 (und evtl. späterer Versionen) können dieses Dokument ignorieren, da in Ihrer Version die betreffende Sicherheitslücke schon geschlossen ist. Anleitung: ---------- Um die Sicherheitslücke in Ihrer phpCMS Installation zu schließen, ohne die komplette Installation auf die neueste verfügbare Version zu aktualisieren, muss die Datei parser/include/class.layout_phpcms.php durch die entsprechende Datei aus diesem Archiv ersetzt werden Folgen Sie dazu den folgenden Schritten: 1) Überprüfen Sie, welche phpCMS Version Sie zur Zeit verwenden. Dies kann auf verschiedene Wege geschehen: * loggen Sie sich in das Administrations Interface von phpCMS ein. Am unteren Ende der linken Spalte wird die Versionsnummer der phpCMS Installation angezeigt (z.B. 1.2.0 pl1 ) * Betrachten Sie den HTML Sourcecode einer mit phpCMS generierten Webseite. Zu Beginn des HTML Sourcecodes sollten Sie ein HTML-Kommentar finden, aus dem die phpCMS Version ersichtlich ist, z.B. 2) Machen Sie eine Sicherheitskopie der Datei parser/include/class.layout_phpcms.php in Ihrer aktuellen phpCMS Installation. Wichtig: Verschieben Sie die Datei an einen Ort, an dem sie nicht über das Web erreichbar ist. Am Besten ist es, wenn Sie die Datei per FTP auf Ihren lokaen Desktop Rechner kopieren. 3) Dieses Archiv enthält verschiedene Versionen der Datei class.layout_phpcms.php für die verschiedenen veröffentlichten phpCMS 1.2.x Versionen. Nennen Sie die zu Ihrer aktuell installierten phpCMS Version passende Datei in class.layout_phpcms.php um, und laden Sie diese anschließen in das Verzeichnis parser/include/ Ihres Webservers (und überschreiben bzw. ersetzten Sie die in Schritt 1 gesicherte alte Datei mit der neuen). 4) Das war's. Nach dem Ersetzen dieser einen Datei sollte Ihre Webseite wie gewohnt funktionieren und die Sicherheitslücke ist beseitigt. Wenn Sie Fragen zu diesem Patch oder der Sicherheitslücke haben, dann wenden Sie sich bitte an das phpCMS Supportforum unter http://www.phpcms.de/forum Ihr phpCMS Team