@gharlan gharlan released this Jun 5, 2018 · 241 commits to master since this release

Assets 3

REDAXO-Core 5.6.0 – 05.06.2018

Security

  • Siehe mediapool-Changelog
  • rex_string::buildAttributes: Die Attribute wurden nicht escaped, wodurch unter Umständen XSS möglich war (ggf. kontrollieren, ob man dort Attribute übergeben hat, die bereits escaped waren) (@gharlan)

Neu

  • MySQL-Mindestversion 5.5.3
  • Update Symfony-Komponenten (3.4.11), Symfony-Polyfills (neu: ctype) (1.8.0), parsedown (1.7.1) (@gharlan)
  • HTTPS kann für Frontend und/oder Backend erzwungen werden (Umleitung und optional HSTS-Header) über config.yml und Setup (@bloep)
  • Admins können in die anderen Benutzer wechseln, ohne deren Passwort zu kennen (@gharlan)
  • Im Debug-Mode kann Whoops optional auch für Warnings/Notices aktiviert werden (@gharlan)
  • Safe-Mode kann aus System-Page heraus gestartet werden (@alexplusde, @tbaddade)
  • Setup:
  • Packages-Page: Lizenz in Kurzform wird gelistet mit Link zu kompletter Lizenz (@staabm, @tbaddade, @gharlan)
  • project-Addon wird per default spät geladen (load: late in package.yml, wird bei Update nicht gesetzt) (@gharlan)
  • Beim Core-Update werden in der config.yml alle neuen Optionen ergänzt (@gharlan)
  • Doku wird im Footer verlinkt (@olien)
  • Backend-Übersetzungsdateien:
  • Neue Consolen-Commands:
    • user:set-password: Neues Passwort für Benutzer setzen (@gharlan)
    • setup:check: Umgebung (Versionen, Dateirechte...) prüfen (@staabm)
    • assets:sync: Assets zwischen /assets und den assets-Ordnern in src synchronisieren (@staabm)
    • db:connection-options: Liefert die Optionen um sich mit dem mysql cli tool mit der DB zu verbinden (@gharlan)
  • rex_form:
    • Neue abstrakte Basisklasse rex_form_base für alternative Speichermethoden, neue Klasse rex_config_form für Speicherung in rex_config (@gharlan)
    • Führende/nachfolgende Leerzeichen werden nach dem Senden entfernt (@staabm)
  • rex_sql:
    • Für die Connection wird utf8mb4 genutzt (@gharlan)
    • Neue Methoden für die Nutzung von Transactions (@staabm)
    • Neue Methode insertOrUpdate für INSERT .. ON DUPLICATE KEY UPDATE-Queries (@gharlan)
    • Mehrere Datensätze können gleichzeitig eingefügt/aktualisiert/ersetzt werden (addRecord) (@gharlan)
  • rex_backend_login::hasSession: Es wird nun keine Session mehr gestartet, wenn bereits der Session-Cookie nicht existiert (@VIEWSION)
  • rex_response:
    • sendFile: Dateiname kann angegeben werden (@bloep)
    • sendResource: Content-Disposition und Dateiname können angegeben werden (@gharlan)
    • Neue Methode sendCookie (@staabm)
  • rex_file::copy: Zugriffszeit wird auch übernommen (@staabm)

Bugfixes

  • Nach explizitem Logout funktioniert teils der direkte erneute Login nicht (CSRF-Token-Fehler) (@bloep)
  • Cache löschen: Teils blieb der rex_config Cache erhalten (@gharlan, @tbaddade)
  • Beim Deaktivieren/deinstallieren von Packages wurde dessen Cache nicht gelöscht (@bloep)
  • rex_sql: showTables enthielt auch Views (@gharlan)
  • rex_sql_table: Es konnten nicht mehrere Fulltext-Indexe gesetzt werden (@gharlan)

backup 2.2.1 – 05.06.2018

Bugfixes

  • Kompatibilität zu PHP 7.2 (@gharlan)
  • Speicherbedarf beim Export reduziert (@staabm)
  • Es wird sichergestellt, dass keine unvollständigen Backups erstellt werden (@staabm)
  • Backup-Cronjob: Wenn die automatische Löschung aktiviert war, funktioniert der Mailversand nicht mehr (@staabm)
  • EP BACKUP_AFTER_DB_IMPORT: Während der Ausführung war der Cache veraltet (@gharlan)

be_style 2.5.0 – 05.06.2018

  • Update bootstrap-select (1.12.4), scssphp (0.7.6) (@gharlan)
  • Update CodeMirror (5.38) mit neuen Optionen (@aeberhard)
  • Korrektur Suchfeld in bootstrap-select (@skerbis)

cronjob 2.3.0 – 05.06.2018

Neu

  • Command cronjob:run: Es kann ein einzelner Job direkt ausgeführt werden (--job) (@gharlan)

Bugfixes

  • Status-Toggle-Link war nicht nutzbar (CSRF-Token fehlte) (@gharlan)

install 2.4.0 – 05.06.2018

Neu

  • "Veröffentlicht am" wird ausgegeben, Addons können danach sortiert werden (@bloep)

media_manager 2.5.4 – 05.06.2018

  • Sprachdateien aktualisiert

mediapool 2.4.0 – 05.06.2018

Security

  • Es wurden nur die Dateiendungen .php, .php5, .php7 usw. geblockt, manche Server führen aber auch .php56, .php71 usw aus, daher werden nun alle Dateiendungen der Form .php* geblockt (gemeldet von Matthias Niedung, HackerWerkstatt) (@gharlan)
  • CSRF-Schutz (@dergel)

Neu

  • Optional kann eine Whitelist von MimeTypes definiert werden (@dergel, @gharlan)
  • Lösschen von Medienkategorien kann per neuem EP MEDIA_CATEGORY_IS_IN_USE verhindert werden (@christophboecker)
  • Neuer EP MEDIA_DETAIL_SIDEBAR (@christophboecker)
  • Die Functions-Datei wird auch im Frontend eingebunden (@gharlan)
  • rex_mediapool_syncFile: Userlogin kann angegeben werden (für Nutzung im Frontend) (@gharlan)

Bugfixes

  • EP MEDIA_ADDED wurde doppelt ausgeführt (@gharlan)
  • Im Safari 11.1 konnten Medien nicht aktualisiert werden (ohne sie gleichzeitig auszutauschen) (@gharlan)
  • rex_mediapool_updateMedia:
    • Beim Direktaufruf wurde der EP MEDIA_UPDATED nicht aufgerufen (@gharlan)
    • Parameter $FILE und $userlogin wurden nicht genutzt, stattdessen wurde hartkodiert mit $_FILES['file_new'] gearbeitet (@gharlan)

metainfo 2.3.1 – 05.06.2018

Bugfixes

  • Beim Bearbeiten der Artikel-Metainfos wurden updatedate und updateuser nicht aktualisiert (@gharlan)
  • Date/Time/Datetime-Felder: Tag/Monat/Stunde/Minute nun einheitlich zweistellig, aktueller Wert war vorher teils nicht selektiert (@gharlan)

phpmailer 2.4.0 – 05.06.2018

Neu

  • Update phpmailer 6.0.5 (@gharlan)
  • Mail-Log ist default nicht mehr aktiviert (@skerbis)
  • Aktualisierung Hilfe/Doku (@skerbis)

structure 2.6.0 – 05.06.2018

Neu

  • Mountpoints werden nach Prio sortiert, wenn alle in gleicher Oberkategorie (@gharlan)
  • Neue EPs ART_MOVED und ART_COPIED (@alexwenz)
  • Template löschen: Hinweis welche Artikel es benutzen (@bloep)
  • Linklist: Artikel-IDs werden auch ausgegeben (@tbaddade)
  • Umbenennung "Homepage" in "Hauptebene" in Breadcrumb + passenderes Icon (@tbaddade)
  • Umbenennung "Spalten" in "Bereiche" (@alexplusde)
  • rex_category, rex_article, rex_article_base: Neue Methode getClangId, getClang als deprecated markiert (@staabm)
  • Rechtschreibprüfung in Codeeingabefeldern deaktiviert (@staabm)

Bugfixes

  • Kompatibilität zu PHP 7.2 (@IngoWinter)
  • Bei der Ausgabe des Modulnamens fehlte teils das Escaping (@staabm)

users 2.5.0 – 05.06.2018

Neu

  • Login-Fehlversuche können zurückgesetzt werden (@gharlan)
  • Benutzerliste sortierbar nach Spalten (@gharlan)
  • Rollen werden nach Name sortiert (@tbaddade)

Bugfixes

  • Kompatibilität zu PHP 7.2 (@gharlan)
  • Wenn man bei Admins die Admin-Checkbox abhakt, erschien nicht das Rollen-Auswahlfeld (@palber)
  • Die Perms enthielten teils sichtbare HTML-Entities (Doppel-Escaping) (@gharlan)