Content => Artikel : keine Artikel mehr sichtbar?

[Szaszi]

Hallo,

ich habe seit mehreren Jahren Contenido in Vers. 4.4.2 und 4.6.2 auf einem Webspace bei Hosteurope am laufen. Ich war länger nicht auf dem Backend, wenn ich mich jetzt aber anmelde und in den Bereich Content > Artikel navigiere, bleibt der Artikelbaum links (browserunabhängig) leer. Nur ein plus und minus sind sichtbar, ein Klick darauf bewirkt nichts.

Seltsamerweise werden unter Content => Kategorie alle Kategorien noch korrekt angezeigt und auch die Websites funktionieren ohne Probleme.

Eine Änderung von mir ist auszuschliessen, allerdings kam Anfang Januar die Mitteilung von Hosteurope, dass der allgemein zugängliche /tmp - Bereich aus Sicherheitsgründen deaktiviert wird.

Ich habe mir ein paar configfiles von contenido angeschaut. Dort wird ein eigenes tmp auf/contenido/temp konfiguriert.

Meine Frage: Gibt es vor allem bei der Artikelanzeige irgend eine Funktion, die versucht in /tmp zu schreiben oder hat das damit gar nichts zu tun und das Problem ist ein anderes? Oder kommt jemand die Problematik bekannt vor und kann ein anderes Problem an der Stelle identifizieren? Wie gesagt, es betrifft bei mir Vers. 4.4.2 und 4.6.2 . Eine ganz alte Version von 2003 ist nich betroffen .. !?

Hoffe, jemand weiß Rat

[holger.librenz_4fb]

Hallo.

Also auf jeden Fall solltest Du ein Update auf die aktuelle Version (aktuell 4.6.23) machen, da die alten Versionen kritische Sicherheitsprobleme haben! Evtl. erklärt das auch das mysteriöse Verhalten im Backend. Checke bitte mal Deine Installationen bezüglich evtl. nicht bekannter / komische Dateien (php Scripts, große Dateien, komische Verzeichnisse).

Nichts desto trotz: Haben noch andere Nutzer Zugang zum Backend die Artikel und Kategorien anlegen können? Wie viele Kategorien hast Du momentan? Ich frage weil es unter bestimmten Umständen dazu kommen kann, das der Kategoriebaum nicht mehr sauber aufgebaut wird. Normalerweise hilft es einfach einen neuen Baum in den Kategorien anzulegen - dann wird die Generierung des Baumes neu angestossen.

So long.
Holger

[wosch]

wenn ich mich jetzt aber anmelde und in den Bereich Content > Artikel navigiere, bleibt der Artikelbaum links (browserunabhängig) leer. Nur ein plus und minus sind sichtbar, ein Klick darauf bewirkt nichts.
Seltsamerweise werden unter Content => Kategorie alle Kategorien noch korrekt angezeigt und auch die Websites funktionieren ohne Probleme.

Das ist, laut @Dodger77 ein bekannter aber nicht reproduzierbarer Bug.

Lies mal hier:
http://contenido.org/forum/viewtopic.php?t=16768
oder da
http://contenido.org/forum/viewtopic.php?t=13885
Das könnte auch dein Problem lösen.

Und ein Update, auf die Version 4.6.15 wäre gut.
Die Version 4.6.15 entspricht sicherheitstechnisch (sagte zumindest einer der beteiligten) der 4.6.23, hat aber noch keine der neuen, nicht kompaktiblen, Funktionen intergriert.

[holger.librenz_4fb]

Hi.

@wosch: Es sind definitiv mehrere Sicherheitspatches in der 4.6.23 drin, die in den vorhergehenden Versionen nicht enthalten sind. Von daher bitte immer auf die aktuellste Version updaten

So long
Holger

[wosch]

Hi.

@wosch: Es sind definitiv mehrere Sicherheitspatches in der 4.6.23 drin, die in den vorhergehenden Versionen nicht enthalten sind. Von daher bitte immer auf die aktuellste Version updaten

So long
Holger

Danke für den Hinweis.
Welche Patches wurden den zwischen 15 und 23 noch eingefügt?
(Ich will die 23-Version nicht, die hat Funktionen die nicht mehr zur 100% zur 15er kompaktibel sind, lieber baue ich die Patches manuell in eine 15 ein.)

[holger.librenz_4fb]

Hallo wosch.

Was ist denn in der 4.6.23 nicht mehr kompatibel? (Reine Neugier )

Spontan fällt mir der Patch von Björn ein, der die Typprüfung für die Standardparameter (idart, idcat etc.) durchführt. U.a. ist der in der front_content.php zu finden. Am Einfachsten wäre hier genauer den Diff zwischen 4.6.15 und 4.6.23 zu betrachten.

So long
Holger

[wosch]

Spontan fällt mir der Patch von Björn ein, der die Typprüfung für die Standardparameter (idart, idcat etc.) durchführt. U.a. ist der in der front_content.php zu finden. Am Einfachsten wäre hier genauer den Diff zwischen 4.6.15 und 4.6.23 zu betrachten.

So long
Holger

@holger,
das halte ich für ein Gerücht.
Wenn man die Unterschiede vergleicht kommt man zu:

Version 4.6.15 - front_content:

Code: Alles auswählen

// Checking basic data input
if (isset($changeclient) && !is_numeric($changeclient)) {
	unset ($changeclient);
}
if (isset($client) && !is_numeric($client)) {
	unset ($client);
}
if (isset($changelang) && !is_numeric($changelang)) {
	unset ($changelang);
}
if (isset($lang) && !is_numeric($lang)) {
	unset ($lang);
}

Version 4.6.23 - front_content:

Code: Alles auswählen

/ Checking basic data input
// TODO: Put this elsewhere? E.g. startup.php?
$aCheckVars = array ('changeclient', 'changelang', 'client', 'lang', 
					 'idart', 'idcat', 'idcatart');
foreach ($aCheckVars as $sVar)
{
	if (isset($$sVar) && !is_numeric($$sVar))
	{
        unset ($$sVar);
	}
}

Und das hat nichts mit Patches zur Sicherheit zu tun.
Also wo sollen die erweiterten Sicherheitskriterien 4.6.15 zur 4.6.23 dann sein?

[Szaszi]

Hallo,

danke für Eure Antworten.
Außer mir hat auf das Backend keiner Zugriff, mir sind auch keine seltsamen Dateien oder Scripts aufgefallen. Einen neuen Baum anlegen hat nicht zum Erfolg geführt.

Ich habe mich entschlossen, einen Update auf 4.6.23 zu machen. Die Artikel sind jetzt wieder sichtbar. => OK .. Leider sieht die Seite jetzt etwas seltsam aus, aber das sollte nur ein Template/Stylesheet-Thema sein.

Danke für die Hilfe

Grüße
Frank

[holger.librenz_4fb]

@Szaszi: Klingt doch super. Bei weiteren Fragen weißt Du ja wo Du Dich vertrauensvoll hinwenden kannst

@wosch: Hmm, Memo an mich: erst Code checken, dann meckern Werd mir das zwar noch einmal genauer ansehen, allerdings war ich der Meinung das der Patch mit der Wertprüfung post-4.6.18 war. Tja, ich lernt ja bekanntlich nie aus...

So long.
Holger

[HerrB]

Ja, die Veränderung war 4.6.18-post.

Ähm, ich lerne immer gerne dazu - was genau könnte man an diesem Code verbessern? Er verhindert, dass man bei numerischen Variablen Text übergeben kann und damit SQL-Injection für diese Werte.

Das etwas seltsame Konstrukt erklärt sich daraus, dass bei einigen Variablen im späteren Verlauf isset verwendet wird, man darf sie also nur verändern, wenn sie überhaupt schon da sind.

Ggf. würde ich es noch so ändern:

Code: Alles auswählen

/ Checking basic data input 
// TODO: Put this elsewhere? E.g. startup.php? 
$aCheckVars = array ('changeclient', 'changelang', 'client', 'lang', 
                'idart', 'idcat', 'idcatart'); 
foreach ($aCheckVars as $sVar) 
{ 
   if (isset($$sVar)) 
   {
        $$sVar = (int)$$sVar;
   } 
}

Das vermeidet is_numeric und nutzt das "natürliche" PHP-Casting (d.h. es kommt ggf. 0 raus).

Gruß
HerrB