Fatal error in class.frontend.php

[evaki]

"moin, regnets bei euch??  "
Jo, bis in'nen Keller, wo die depressiven Mieter ihr Zelt aufgebaut haben, wegen der Erdstrahlen.

[Gast]

moin, regnets bei euch??   

@ Heinz:  kannst du bitte mal folgendes testen:

- für die Imagegallery die Suche wieder einschalten
- ein Begriff suchen, der da vorkommt
- Treffer zählen

Hab bis 03.00 Uhr versucht, die Suche da zu reparieren, ist auch kein Problem, allerdings zeigt er mir dann alle Treffer an und nicht etwa die in den WB-Optionen eingestellte Menge.
Als Beispiel
Alle Bilder bei mir fangen mit DSC an, weil so von der Kamera benannt, Suchbegriff also DSC
ich weiß, ich hab 80 Bilder im Ordner, die Einstellung "Suchtreffer pro Seite" steht auf 3 (WB-Optionen)
ich bekomme in der Imagegallery-Suche nun 15 Thumbs angezeigt, der Rest ohne Thumbs, nur Bildname, weil Treffer - das macht 80 Treffer aus Gallery1 und weitere Treffer aus Gallery 2

15 wäre der default-Wert, falls in der Datenbank kein Wert eingestellt oder gelesen werden kann, der Wert ist aber vorhanden, wird auch gelesen, trotzdem bekomm ich 15 Bilder und alle Treffer aus dem Ordner.
In einem anderen Ordner heißen die Bilder anders, z.b. drei mit dem Wort "Ente" drin, da bekomm ich nur diese drei Entenbilder, aber eben auch, wenn das Maximum nur auf 1 steht

P.S.: für mich ist heute Schraubertag, hab einen neuen, kranken Van auf dem Hof, der meine Zeit verlangt

Ob es mit der als deprecated create_function() zu tun hat,

kommt drauf an, was in dieser Funktion drin steht
In diesem Fall soll diese Funktion die Pfade aufteilen, d.h. WB_PATH und MEDIA_DIRECTORY und der eingestellte Folder sollen entfernt werden, so, das nur noch der Dateiname überbleibt

[evaki]

Ob es mit der als deprecated create_function() zu tun hat, können die Programmierer ausloten.
Jedenfalls scheint 'ne Unsicherheit wie bei eval() nicht ausgeschlossen, zumindest wenn man den Kommentaren folgt:
[PHP 7.2] Remove usage of deprecated create_function() This function internally performs an eval() and as such has the same security issues as eval(). Additionally it has bad performance and memory usage characteristics.

MfG. Evaki

[bbs2]

Hallo,

swift läuft bei mir in der Betaversion 2.0.0 dev4 und macht einen guten, stabilen Eindruck.
Keine Fehler mehr in der php_error.log.php

Imagegallery scheint Probleme zu haben (create_function???). Ich habe zur Zeit davon lediglich eine Seite öffentlich,
damit diese von Forumsmitgliedern getestet werden kann und ein Vergleich zu swift möglich ist.
Ich bin sicher, dass die Entwickler eine neue, fehlerfreie Version bringen. Im Voraus Danke.

Hier noch einmal die Links
swift:
https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/galerie-autorenlesung-2011.php

imagegallery:
https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php

Gruß
Heinz

[evaki]

Naja, trotz meiner Blödheit und Weigerung bezüglich php-Programmierens, lerne ich ja an anderen Stellen  trotz Trotz  dazu.

Nachtrag: Wenn ein Script einen 500er auslösen kann, ist das in jeder Hinsicht inakzeptabel, egal ob mir einer der professionellen Scanner möglicherweise  kein XSS meldet. Da muß man dann ran, inne Backstube. 

[dbs]

Aah, ziehe jede spöttische Bemerkung bis zum 1. April zurück. 

[evaki]

Etwas zu kurz gedacht (oder schon die Vorfreude auf den 1. April?  ), der Fehler wird durch das Angriffsmuster ausgelöst, eben weil XSS möglich - darum auch ausführlicher "Bericht".
Läge kein 200 ok vor, könnte der Angriff erst garnicht erfolgen.
MfG. Evaki

[dbs]

bilder-zur-autorenlesung-2011.php
Server error 500 wird ausgelöst

Vielleicht ist bei deinem Tool schon 1.April?
Die Seite zeigt Status 200, normal erreichbar.

[evaki]

Zweiter Durchlauf
swift:
galerie-autorenlesung-2011.php
Keine Meldung

Apropos swift
Was für eine Version läuft aktuell?


imagegallery:
bilder-zur-autorenlesung-2011.php
Server error 500 wird ausgelöst:

Code Select Expand

Internal Server Error
URL  https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php?dir577=&offset577=-1' and 6=3 or 1=1+(SELECT 1 and ROW(1,1)>(SELECT COUNT(*),CONCAT(CHAR(95),CHAR(33),CHAR(64),CHAR(52),CHAR(100),CHAR(105),CHAR(108),CHAR(101),CHAR(109),CHAR(109),CHAR(97),0x3a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.COLLATIONS GROUP BY x)a)+' 
Parameter Name  offset577 
Parameter Type  GET 
Angriffsmuster  -1%27+and+6%3d3+or+1%3d1%2b(SELECT+1+and+ROW(1%2c1)%3e(SELECT+COUNT(*)%2cCONCAT(CHAR(95)%2cCHAR(33)%2cCHAR(64)%2cCHAR(52)%2cCHAR(100)%2cCHAR(105)%2cCHAR(108)%2cCHAR(101)%2cCHAR(109)%2cCHAR(109)%2cCHAR(97)%2c0x3a%2cFLOOR(RAND(0)*2))x+FROM+INFORMATION_SCHEMA.COLLATIONS+GROUP+BY+x)a)%2b%27 

Details zur Schwachstelle
Netscanner identified an internal server error.
The server responded with an HTTP status 500, indicating there is a server-side error. Reasons may vary, and the behavior should be analyzed carefully. If Netscanner is able to find a security issue in the same resource, it will report this as a separate vulnerability.

Auswirkungen
The impact may vary depending on the condition. Generally this indicates poor coding practices, not enough error checking, sanitization and whitelisting. However, there might be a bigger issue, such as SQL injection. If that's the case, Netscanner will check for other possible issues and report them separately.

Abhilfe
Analyze this issue and review the application code in order to handle unexpected errors; this should be a generic practice, which does not disclose further information upon an error. All errors should be handled server-side only.


Schön zu sehen wie eine bestimmte Anfälligkeit unterschiedliche Auswirkungen haben kann.
Jetzt muß Du halt nur schauen, ob eine Backstube geöffnet hat.

MfG. Evaki

[evaki]

ok, in Bearbeitung
Die Seite scheint etwas mehr Zeit zu beanspruchen, und ein weiterer Test steht noch aus.
Kann also etwas dauern.
Bis späder.

======================
War wohl nix
XSS-Meldung:
Vulnerability description
This script is possibly vulnerable to Cross Site Scripting (XSS) attacks.

Cross site scripting (also referred to as XSS) is a vulnerability that allows an attacker to send malicious code (usually in the form of Javascript) to another user. Because a browser cannot know if the script should be trusted or not, it will execute the script in the user context allowing the attacker to access any cookies or session tokens retained by the browser.
This vulnerability affects /pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php.

Auslösbar anscheinend über
/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php?a m p % 2 2 s T Y L e % -blubbla

Breche diesen Test ab, und mache noch 'nen zweiten Durchgang mit anderem Tool
- quasi zur Sicherheit 

[bbs2]

Hi,
imagegallery-Seite sollte funktionieren.

Gruß
Heinz

[evaki]

swift-seite: beim ersten Test ok
zweiter Test folgt noch

imagegallery-seite: 403 error
Deine Seite gibt es auch aus:
Forbidden
You don't have permission to access /pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php on this server.
Server unable to read htaccess file, denying access to be safe

ps. Mein Kommentar "Verzeichnisse der Module auch mal auf 755 setzen" war etwas sinnfrei, denn 755 (manche 644) ist Standard. Es sollte ursprünglich heißen "Alle WB-Verzeichnisse auf 777". Ist aber für diesen Fall erstmal bedeutungslos, also ignorieren.

MfG. Evaki

[bbs2]

Hallo,

hier eine Galerie alternativ mit 2 Modulen

https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011.php

swift:
https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/galerie-autorenlesung-2011.php

imagegallery:
https://bbsiikl.de/pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php

Viele Grüße
Heinz

[evaki]

Auf Sicherheitsprobleme habe ich das Teil noch nicht getestet.

Vielleicht richtet ja jemand mal zwei Seiten für die beiden eingesetzten bzw. benutzten - gleicher Version - Module ein, so daß ich mal 'nen Scan machen kann. Wichtig hierbei, daß der Provider die Scans nicht wegen zu vieler Anfragen blockt. Verzeichnisse der Module auch mal auf 755 setzen - aber nur für den Scan. mod_security oder ähnliches sollte auch nicht aktiviert sein. Wenn das mal auf einem anderen Server als Deinem machbar ist, bekommen wir vielleicht bessere, sprich eindeutigere und verläßlichere  Ergebnisse. Es reichen zwei Seiten nur für diesen Zweck.

MfG. Evaki

[bbs2]

Hi evaki,

Danke. Deine sehr interessanten Hinweise auf Sicherheitsprobleme weisen genau auf Seiten mit dem Modul
imagegallery hin. Ist dies evtl das gleiche Problem wie bei der Suche: create_function.
Sollte dies zutreffen, wäre das Modul auch ein Sicherheitsproblem.

Die Seiten Sanierung sind auf der Originalseite deaktiviert. Auch dort befinden sich
imagegallery-Seiten.

Gruß

Heinz

[hgs]

Vertan

[evaki]

test.domain.de
XSS Probleme:
pages/schulleben/autorenlesungen/autorenlesung-2011/bilder-zur-autorenlesung-2011.php.
das gleiche mit 2012 und 2013
BrokenLinks (107)
Das meiste unter  /pages/sanierung/xxx

Broken Links kann man auch über online-Dienste testen

Wie schon zuvor gesagt:
Die Site muß wohl noch aufgeräumt werden

[evaki]

Ist nun die Testdomain oder Hauptdomain gemeint?
Extrem kurzer Check der Testdomain zeigte nichts erfreuliches.
Die Site muß wohl noch aufgeräumt werden, und sollte über TLS erreichbar sein, damit Sicherheitsprobleme nicht ihre Wirkung unmittelbar entfalten können.
Aber das ist nur eine Empfehlung, und hat nichts mehr mit WebsiteBaker zu tun.
MfG. Evaki

[bbs2]

Hallo,

Fehler ist nach Austausch der index.php im Wurzelverzeichnis gegen die index.php aus dem 2.12.1 download pack verschwunden. Schritt für Schritt Tests führten mich auf die Spur

Vermutlich ist bei einem Teibackup nach Serverproblemen eine unpassende index.php reingerutscht.

Danke für alle Hinweise.

Gruß
Heinz

[hgs]

Gerne gibt es eine PM, um auf meinem Testserver die aktuelle Version so richtig zu stressen.
Hoffe das wir einen vorhandenen Fehler finden.

Server ist bei all-inkl (Deutscher Anbieter mit deutschen Servern). Ich hatte noch nie Probleme.

Kurztest, die Suche gibt ein Ergebniss raus, eine weiße Seite kann ich nicht erzeugen
WB 2.12.1 incl. CorePatch auf php7.3

2. Nachtrag
Seite mit register angelegt
Suche zeigt die Seite an und führt zum FE_Login, da ich nicht angemeldet war.
Seite ist nach anmelden sichtbar

Also für mich ist da kein Fehler feststellbar.

[Gast]

Mit Strato hatten wir vor einigen Tagen Probleme. Die hatten wohl eine Schneckenzucht eröffnet.
Im Moment geht es wieder besser.

Wäre ein Server bei 1&1 besser?

Besser/Schlechter ist immer eine Frage der persönlichen Erfahrungen. Ich persönlich würde z.b. kein 1&1 mehr nehmen und schwöre jedes Jahr, das ich aber diesmal von Strato wechsel. Ich würde mir aber auch kein russisches Auto kaufen, hatte eins, das reicht 

Man sollte den Providern auch Zeit zur Modernisierung der Hardware geben. Bei einem anderen Anbieter werde ich regelmäßig über anstehende Wartungsarbeiten informiert, i.d.R. alle 3 Monate, zur Not ruf ich an oder nutze den Support-Chat. Noch nie Probleme gehabt dort, darum bin ich auch gerne da.
Andere haben andere Erfahrungen gemacht und wechseln. Jeder mit seinen Erfahrungen, es sollte halt nicht zu klein sein.
Ein Kunde hatte mal einen Ein-Mann-Betrieb als Anbieter, eine Domain bestellt, bezahlt und registriert und dann vertippt sich der gute Mann in seiner Domainregistrierung und fährt in den Urlaub   

[bbs2]

Danke für die Warnungen bzgl. 2.8.1.

Unser Intranet hat an Bedeutung verloren. Es sind inzwischen keine kritischen Daten mehr drin.
Andere interne, digitale Wege haben an Bedeutung gewonnen.
Ich will dennoch auf 2.12.x umstellen, wenn dies stabil läuft. Insbesondere muss die Registrierung laufen.

Mit Strato hatten wir vor einigen Tagen Probleme. Die hatten wohl eine Schneckenzucht eröffnet.
Im Moment geht es wieder besser.

Wäre ein Server bei 1&1 besser?

Dochmals Danke

Viele Grüße
Heinz

[Gast]

bitte nun nicht Intranet mit öffentlichen Servern vergleichen. Ich kann bei mir auch problemlos eine WB 2.0.0 laufen lassen von (ich müßt nachschauen) 2004 oder so - keine Thema und sieht auch schnuckelig aus.
Wenn du mich mal einlädst, zeige ich dir, wie ich in zwei Minuten mit ein paar Buchstaben über diese WB 2.8.1 dein gesamtes Intranet übernehme.
Anbieter wie eben Strato haben auch eine Verantwortung gegen über ihren Kunden und darum muß man auch die Software verwenden, die aktuell ist (eben PHP ab 7.1 aufwärts usw).
In deinem Intranet spielt das solang keine Rolle, wie niemand von außen rein kommt.
Mein Einwohnermeldeamt arbeitet auch noch mit Windows XP - ich war erschüttert.

Was die genannten Fehler angeht: wir schauen gerade, ob die genannten Fehler vom Corefix kommen oder auch in der WB 2.12.1 drin sind, aber das braucht eben alles seine Zeit

[bbs2]

Hallo,

es gibt wohl auch Probleme in 2.12.1 bzw. 2.12.2 (core), PHP 7.2

1. Search
Search produzierte eine weiße Seite. Ich habe nun die alten search-Dateien aus 2.8.3 in den Ordner kopiert.
Nun läuft die Suche wieder problemlos auch unter 2.12.2(core).

2. Seiten mit der Einstellung registriert

Seiten, die nur mit Anmeldung geöffnet werden können, laufen nicht mehr (leere Seite)

Zum Test habe ich eine neue Seite eingerichtet und als registriert eingestellt. Folge: fataler Fehler.

Unser Intranet läuft immer noch unter 2.8.1. Dort funktionieren die registrierten Seiten.

[evaki]

Mal wieder schlug das Zeitlimint zu 

Old Opera: Webserver oder Datei auf dem Server nicht gefunden.
FF: Weisse Seite
Maxtor, Chrome, Scanner: 500er error


Zu den XSS kann ich im Moment nix genaueres sagen, da wie gesagt nur "angerissen".
Wenn die anscheinend nicht in jeder Seite auftreten, kann das auch dem nicht vollendeten Scan zugeschrieben werden.

Um dem Sammelsurium zu entgehen (inkl. mein angerissener Scan) würde helfen, wenn  jemand Systematik reinbringt. Kaputte Module gehören dann zu dem, dem man sich zuletzt widmet.
Prüfung  (bei mir) normalerweise
1 Server
2 CMS Core-Ausstattung : Inhalte
3 CMS Erweiterungen schrittweise zuschalten

Nur ein Beispiel
Vor ein paar Tagen hatte ich mich über lange Antwortzeiten bei diesem Server gewundert.
Ein Ping zeigte sehr gute Ergebnisse, aber der Server lahmte grauslig.

Wenn ein altes CMS nach einem Upgrade nun an unterschiedlichen Stellen Fehlermeldungen produziert, kann man die erwarten. Schon hier sollten aber die Module deaktiviert werden, nicht deinstalliert bzw. gelöscht, die nicht zum Core gehören. Das kann zur Fummelarbeit ausarten, eine Anleitung existiert hierfür auch nicht, aber bei mehr als nur einem Leistenbruch lohnt sich evtl. eine Systematik

MfG. Evaki