[M@lte]

Der Entwickler von JCE hat für die aktuellen Versionen 1.04 (1.05) und 1.1 beta 2 erneut einen Sicherheitspatch herausgegeben. Ohne diesen Patch ist ein Cross Site Scripting Angriff über die eigenen Seiten möglich, mit dessen Hilfe der gesamte Inhalt des eigenen Webspaces ausgelesen werden kann (inkl. der Konfigurationsdateien). Also unbedingt installieren. Die Dateien sind auf der Seite des Entwicklers herunterzuladen:
http://www.cellardoor.za.net/
Es ist, wer 1.04 und 1.1 beta 2 installiert hat, keine komplette Neuinstallation notwendig. Es müssen nur zwei Dateien ausgetauscht werden. Ältere Versionen sollten deinstalliert werden und die aktuelle Version installiert werden.
Viel Spaß bei dieser kleinen Wochenendbeschäftigung.

Gruß M@lte

P.S. die Informationen beziehen sich auf den Sicherheitspatch vom 8.12.2006. Wer also bereits fürher einen Sicherheitspatch für JCE eingespielt hat (war darmals die gleiche Prozedur) muss diesen Patch trotzdem einspielen!!

[M@lte]

noch eine Ergänzung: in der Datei /components/com_jce/jce.php ist ein Fehler in Zeile 70, der verhindert, dass im Editor öffnende Popups funktionieren. Dort muss die Zeile

Code: [Auswählen]

            die 'File not Found';in

Code: [Auswählen]

            die ('File not Found');geändert werden. Das betrifft auf jeden Fall den Patch für JCE 1.04 (1.05). Ob es auch die JCE1.1 Beta 2 betrifft, kann ich noch nicht sagen, habe diese momentan nirgendwo installiert.
Gruß Malte

[admin]

Danke für den Hinweis, M@lte. Ich habe die Datei jetzt mal angepasst und das Ganze entsprechend der Ordnerstruktur auf dem Server gepackt, damit man nicht jede Datei einzeln hochladen muss. Also Datei entpacken und einfach in das Root-Verzeichnis (i.d.R. /html) hochladen.

[M@lte]

Es wäre vielleicht noch gut zu wissen, ob der Patch für JCE 1.04 oder JCE 1.1 beta 2 ist. Ansonsten natürlich für alle ein sehr komfortable Sache...
Gruß M@lte

[admin]

Sorry, der ist für 1.0.4