PotaBlog - The Blogsoftware for geeks

PotaBlog 2.0

Potassium — Fri, 18 Sep 2009 12:52:00 +0200

Läuft nun schon produktiv auf 4 Standorten und das soweit ohne Probleme.
Sollte jemand Fragen zu der Software haben, bitte eine E-Mail an potassium ät 1338 punkt at schreiben.

Version 2.0

Potassium — Thu, 30 Jul 2009 01:35:00 +0200

Version 2.0 läuft derzeit nur auf http://potassium.1338.at, damit die letzten Fehler ausgebessert werden können und notwendige Funktionen noch nachgebessert werden können.
Sobald diese Probephase vorbei ist, kann PotaBlog 2.0 auch auf den anderen Installationen installiert werden.

Update V. 1.83

Potassium — Tue, 28 Apr 2009 21:29:00 +0200

Der Salt wurde nicht entsprechend escaped bevor er in die Datenbank geschrieben wurde und konnte so ein ungültiges Passwort hervorrufen.
Dateien: general.php sowie usr_mgmt.php

Update V 1.82

Potassium — Mon, 27 Apr 2009 22:34:00 +0200

In Version 1.82 wurden 2 Bugs behoben die verhindert haben, dass man das Passwort selbst ändern kann.
Dazu wurden die Dateien general.php, user_mgmt.php sowie login.php verändert.

Update V 1.80 + V.181

Potassium — Mon, 23 Feb 2009 20:34:00 +0100

In Version 1.80 bzw 1.81 wird ein Fehler in der Kategorieverwaltung behoben der das korrekte Löschen von Einträgen beim Löschen von Kategorien verhindert hat.
Zusätzlich sind die Benutzerpasswörter nun mit einem Salt versehen.
Ein globaler Salt der in der Konfiguration eingestellt wird und ein benutzerspezifischer der sich in der Datenbank befindet.

Da beim erstellen des Salts in Version 1.80 ein Fehler unterlaufen ist bei dem das Einloggen unmöglich wird, wurde sofort Update 1.81 nachgeliefert.

Hinweis: Der globale Salt in der Datei config.php wird mit define("GLOBAL_SALT","ZUFALLS_WERT"); definiert und anstatt des Strings ZUFALLS_WERT soll ein zufälliger String aus Zeichen eingefügt werden. Dabei sollen aber doppelte Anführungszeichen (") und Dollarzeichen ($) vermieden werden um Fehler zu vermeiden.

Update V 1.79

Potassium — Sat, 10 Jan 2009 16:39:00 +0100

Ein Bug der dafür sorgte, dass jedes Bild, jedes mal wenn ein Blogeintrag in dem es vorkommt auf den Server geladen und überprüft wird und dadurch unmengen an unnötigem Traffic erzeugt hat wurde heboben.

Änderungen wurden an folgenden Dateien durchgeführt

./includes/
global_functions.php

Es wurden keine Änderungen an der Datenbank durchgeführt

Update V 1.78

Potassium — Sat, 29 Nov 2008 12:51:00 +0100

Ein kleiner Fehler in der Suchfunktion wurde behoben. Sowie einer bei der Sessionverwaltung (für PHP-Versionen über 5.0)

Änderungen wurden an folgenden Dateien durchgeführt
./
common.php
search.php

./includes/
global_functions.php
global_sessions.php

Es wurden keine Änderungen an der Datenbank durchgeführt

Update V 1.77

Potassium — Mon, 03 Nov 2008 23:19:00 +0100

Behebt einen Bug in der Datei blog_mgmt.php, welcher verhindert, dass ein Benutzer, der nicht das Recht hat den Autor eines Blogeintrages zu ändern, den Beitrag ändert.
Ursache: Fehlerhaftes Dropdownmenü.

Änderungen wurden an folgenden Dateien durchgeführt

./admin/
blog_mgmt.php

Es wurden keine Änderungen an der Datenbank durchgeführt

Update V 1.76

Potassium — Tue, 28 Oct 2008 23:26:00 +0100

Ein schwerer Fehler in der Suchfunktion wurde behoben, der das korrekte Anzeigen von Bild-, Flash und anderen eingebundenen Dateien verhindert hat.

Außerdem wurde in der bbCode-Funktion Änderungen durchgeführt.

Update V 1.75

Potassium — Fri, 24 Oct 2008 03:33:00 +0200

Mit dem Update 1.75 wurden insgesamt 21 Bugs ausgebessert.

Davon wurden 10 als ernst, 3 als kritisch, 1 als gering und 7 als Erweiterung bzw. kosmetische Änderung eingestuft.

Folgende wichtige Änderungen bzw Neuerungen führt das Update V 1.75 durch

Automatisches Überprüfen ob ein neues Update zu verfügung steht funktioniert wieder
SessionIDs werden nun auf ungültige Zeichen und Länge überprüft und ggf. wird eine neue Session gestartet
Ab nun sind nur mehr gewisse bbCodes in Kommentaren zu Blogeinträgen erlaubt und nicht mehr alle.
Bei der Suchfunktion wurden ein paar Fehler ausgebessert, die bei bestimmten Suchwörtern zu einer fehlerhaften Darstellung der Suchergebnisse geführt haben.
Es sind nur mehr die Tabellen aus der Datenbank als Backup downloadbar, welche das entsprechende Präfix enthalten.
Sessions in der Sessiontabelle werden erstmals korrekt entfernt.
Das Änderungsdatum bei statischen Seiten wird nun auch wirklich aktualisiert bei Änderungen.
Umlaute in Benachrichtungsemails werden nun korrekt dargestellt.
Es besteht nun die Möglichkeit einen Anker per bbCode einzufügen.
Es wird nun geprüft ob eine Datei in Blogeinträge und/oder in statische Seiten eingefügt wurde und nicht wie bisher nur in Blogeinträgen.
Dateinamen von upgeloadeten Dateien werden nun auf ungültige Zeichen hin überprüft und diese werden ggf. ersetzt.
Eingebundene Bilder werden auf Existenz sowie auf Bildgröße überprüft um etwaige CSRF-Attacken zumindest zu erschweren, gänzlich verhindern lassen sich diese leider nicht.
Für Bots wurde session.use_trans_sid nun deaktiviert bzw. bei PHP-Version vor 5.0 mit einem Workaround behoben, damit Sessionids nicht mehr von Suchmaschienen gecached werden.
eine weiter kleine Änderungen

Änderungen an der Datenbank wurden ebenfalls durchgeführt.

Es kann nun häufiger zu Einträgen im PHP-Errorlog kommen, da auch Sicherheitsrelevante Daten mitgeloggt werden, so dies nötig ist.
Eine Einstellung wieviel gelogged werden soll ist für die nächsten Releases geplant.

Update.php auch per automatischem Update beziehbar

Potassium — Sat, 11 Oct 2008 01:44:00 +0200

Ab dem nächsten Release bzw. dem Erhalt der neuesten update.php wird es möglich sein, die selbige Datei künftig bei Änderung ebenfalls automatisch zu beziehen.
Sie kann nachwievor nicht automatisch ersetzt werden, wird jedoch (ebenso wie vom Update ausgeschlossene Dateien) in den Ordner /review/ kopiert, von dort aus, sie dann an die richtige Stelle kopiert werden kann.

Ich hoffe das stellt eine Erleichterung da.

Update V 1.74

Potassium — Fri, 10 Oct 2008 19:19:00 +0200

Security + Bugfix
Bis zu diesem Update wird die Sessionid zwar escaped, aber nicht auf ungültige Zeichen überprüft. Daher kann eine PHP-Script-Fehler ausgelöst werden. Dies wurde in Version 1.74 behoben, da nun bei ungültigen Zeichen oder einer ungültigen Länge automatisch eine neue Sessionid generiert wird.

Weiters wurde ein Tippfehler in sämtlichen Script-Dateien ausgebessert, der allerdings nur im Kommentarbereich vorhanden war, daher keinen Einfluss auf das Script selbst hat.

Ein Fehler bei der Übergabe der Variable $linkid bzw lid wurde ebenfalls behoben.

Die Datei update.php wurde auch überarbeitet und einige wichtige Änderungen durchgeführt.
Die Datei ist bei mir auf Anfrage erhältlich.

Eine kleine Änderung im Admin-Stylesheet damit die Debug-Information praktischer angezeigt wird.

Änderungen wurden an folgenden Dateien durchgeführt:

*.php

./templates/standard/admin/
style.css

Es wurden keine Änderungen an der Datenbank durchgeführt!

Update V 1.71-1.73

Potassium — Wed, 08 Oct 2008 00:56:00 +0200

Updates V1.71-1.73 enthalten hauptsächlich Bugfixes.
Ab V 1.73 ist es nun auch möglich eine statische Seite als Startseite anzeigen zu lassen und somit PotaBlog auch als CMS zu benutzen.

Änderungen an der Datenbank wurden in der Version 1.73 nicht durchgeführt.

Update V 1.70

Potassium — Fri, 26 Sep 2008 01:26:00 +0200

Sodale, Update V 1.70 ist nun released.
Das Update enthällt aber so viele, teilweise grundlegende, Änderungen, dass das Update manuell eingespielt werden muss.

Die neuen Dateien sowie das SQL-File für die Datenbankänderungen sind bei mir zu erhalten.

Änderungen wurden an folgenden Dateien durchgeführt:
./
archive.php
authpic.php
common.php
index.php
rss.php
search.php

./admin/
blog_mgmt.php
categories.php
comments.php
export.php
general.php
index.php
ogin.php
menu.php
page_mgmt.php
upload.php
usr_mgmt.php

./includes/
admin_constants.php
admin_functions.php
captcha.ttf
counter.php
global_constants.php
global_functions.php
template.php

./templates/standard/
body.tpl
comment_form.tpl
err_msg.tpl
style.css
style_ie.css

./templates/standard/admin/
comment_form.tpl
comment_home.tpl
config.tpl
config_home.tpl
db_only_update.tpl
footer.tpl
get_update.tpl
index.tpl
info.tpl
pre_text.tpl
show_log.tpl
style.css
update_home.tpl

Besonders wichtig ist, dass in die config.php Datei folgendes eingetragen werden muss:



define("ENABLE_REGISTER_GLOBALS", FALSE); //If you are sure to want to enable register_globals change this value to true

define("ENABLE_AUTO_HTACCESS_FILE", TRUE); //If you are sure to want to disable the creation of .htaccess files in special directories for security change this value to false 

define("DEBUG", FALSE); //If you want to activate the debug-mode set this value to TRUE, NOT FOR PRODUCTIVE SYSTEMS





$connect = @mysql_connect($db_host, $db_user, $db_pw);

if(!$connect){

	write_db_err_log(date("d m Y, H:i")." File: ".__FILE__." Line: ".__LINE__."\r\nQuery: mysql_connect(".$db_host.", ".$db_user.", ".$db_pw.")\r\nError: ".mysql_error()."\r\n");

	die("Error
Couldn't connect to database. Please see database-error-log-file for more information.");

}



$select = @mysql_select_db($db_name);

if(!$select){

	write_db_err_log(date("d m Y, H:i")." File: ".__FILE__." Line: ".__LINE__."\r\nQuery: mysql_select_db(".$db_name.")\r\nError: ".mysql_error()."\r\n");

	die("Error
Couldn't select database. Please see database-error-log-file for more information.");

}

Großes Code Review

Potassium — Sun, 21 Sep 2008 18:32:00 +0200

Derzeit führe ich ein großes Code Review durch und bin auch schon auf div. Fehler gestoßen die natürlich schon in Behandlung sind.

Eine wichtige Lücke möchte ich aber vorraus gleich publizieren, da dieses eine schwerwiegende XSS (Cross-Site-Scripting)-Lücke eröffnet.
Bei der Kommentarfunktion wird die Benutzereingabe bei der URI nicht ausreichend geprüft wodurch beliebiger Javascriptcode ausgeführt werden kann.

Bis zum nächsten Update ist es daher zu empfehlen, die Kommentarfunktion global zu deaktivieren.
Die ist unter Kommentar Einstellungen->Neue Kommentare verbieten (global) möglich.