Update: WoltLab Suite 5.2.5 / 3.1.13 / 3.0.24

  • Wir haben soeben Updates für unsere Produkte freigegeben:

    • WoltLab Suite 5.2.5
    • WoltLab Suite 3.1.13
    • WoltLab Suite 3.0.24


    Stabilitäts- und Fehlerbehebungsversionen (auch bekannt als "minor releases"), beseitigen ausschließlich Fehler in der aktuellen Version und führen keine neuen Funktionen ein. Es wird ausdrücklich empfohlen diese Updates anzuwenden.

    E-Mail-Versand von Benutzern an andere Benutzer

    Im Standardumfang gibt es eine historisch entstandene Funktion, mit der Benutzer (und je nach Konfiguration auch Gäste) andere Benutzer über ein Formular per E-Mail anschreiben können. Diese Funktion hat in der heutigen Zeit keine fundamentale Bedeutung, wird aber bei der Konfiguration, insbesondere bei Migrationen, leicht übersehen. Das Formular basiert auf den Benutzergruppenrechten, die in früheren Versionen die Nutzung standardmäßig erlaubt haben und schlicht nie umkonfiguriert wurden.


    Leider mussten wir feststellen, dass diese Funktion inzwischen für den Spam-Versand missbraucht wird und darüber teils enorme E-Mail-Mengen generiert werden. Wir haben uns daher entschlossen, zwei sofortige Maßnahmen einzuleiten, um das Problem zu entschärfen:

    1. Die Benutzergruppenrechte für diese Funktion werden einmalig für alle Gruppen entzogen. Administratoren können die Funktion nach eigenen Ermessen anschließend wieder reaktivieren, auch wenn wir vom Einsatz ausdrücklich abraten müssen.
    2. Der Captcha-Schutz des Formulars wirkte sich zuvor nur auf Gäste aus, er wird nun ebenfalls für Benutzer angewendet. Dies ist dadurch das erste Formular, dass einen Captcha-Schutz auch für angemeldete Benutzer erfordert.

    Aktualisierung einer bestehenden Installation

    Öffnen Sie die Administrationsoberfläche und rufen Sie den Menüpunkt Konfiguration > Pakete > Pakete auflisten auf. Klicken Sie dann auf den Button Updates suchen, diesen finden Sie rechts oberhalb der Paketauflistung.

    Bedeutende Änderungen

    Bitte beachten Sie, dass die unten stehende Liste nur die wichtigsten Änderungen enthält. Kleinere Korrekturen (u.a. Tippfehler) werden nicht separat aufgeführt.

    WoltLab Suite Blog

    • Für Suchmaschinen ausgeschlossene Seiten wurden irrtümlich in die Sitemap aufgenommen 3.1

    WoltLab Suite Calendar

    • Für Suchmaschinen ausgeschlossene Seiten wurden irrtümlich in die Sitemap aufgenommen 3.1

    WoltLab Suite Filebase

    • Für Suchmaschinen ausgeschlossene Seiten wurden irrtümlich in die Sitemap aufgenommen 3.1
    • Antworten auf Rezensionen konnten trotz Berechtigung nicht durch den Eigentümer der Datei gelöscht werden. 5.2

    WoltLab Suite Gallery

    • Die Liste der gelöschten Bilder erzeugte einen Fehler beim Aufruf durch einen Gast. 3.0 3.1
    • Für Suchmaschinen ausgeschlossene Seiten wurden irrtümlich in die Sitemap aufgenommen 3.1

    WoltLab Suite Forum

    • Die Verschiebung eines Thema unter PHP 7.4 führte zu einem Fehler. 5.0 5.1
    • Für Suchmaschinen ausgeschlossene Seiten wurden irrtümlich in die Sitemap aufgenommen. 5.1 5.2

    WoltLab Suite Core: Conversations

    • Ein Fehler wurde korrigiert, der beim Antworten auf eine Konversation mit einem oder mehreren gelöschten Teilnehmern auftrat. 3.0 3.1
    • Der Import von vBulletin konnte auf Grund einer fehlerhaften Erkennung numerischer Werte fehlschlagen. 3.0 3.1 5.2

    WoltLab Suite Core

    • Zwei Kompatibilitätsprobleme unter PHP 7.4 wurden korrigiert. 3.0 3.1
    • Eine Kollision des mobilen Interface auf Bildschirmen zwischen 768 und 1024 Pixel wurde behoben. 3.1
    • Anfragen die durch HTTPRequest durchgeführt wurden, berücksichtigten das eingestellte Timeout nur unzureichend. 3.0 3.1 5.2
    • Die Verarbeitung von Nachrichten mit übermäßig viel HTML arbeitet nun effizienter. 3.1 5.2
    • Eine verkehrte Sortierungsreihenfolge sorgte dafür, dass teilweise ältere Pakete über die Paketsuche installiert wurden. 3.1 5.2
    • Die Prüfung auf die API-Kompatibilität wurde entfernt. 3.1
    • Einige Berechtigungsprüfungen für Nicht-Besitzer-Gruppen waren zu restriktiv. 5.2

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Wir haben soeben ein Update für das Paket "WoltLab Suite Core: Konversationen" veröffentlicht, das ein großes und ein kleineres Problem behebt.

    Missbrauch der Konversationen zur Verteilung von Spam-Nachrichten

    Wir sind in den vergangenen Tagen auf einen ausgefeilten Bot aufmerksam geworden, der gezielt auf das Konversations-System ausgerichtet ist, um diesen für Spam-Nachrichten zu missbrauchen. Der Bot arbeitet dabei in zwei Phasen um seine Effizienz zu erhöhen, im ersten Schritt wird die Mitgliederliste ausgelesen, um eine vollständige Liste der Benutzernamen zu erhalten. Anschließend werden in der zweiten Phase die zuvor abgegriffenen Benutzernamen verwendet, um jede einzelnen per Konversation mit der Werbebotschaft anzuschreiben. Darüber hinaus wurde der Bot so gestaltet, dass nach dem Versand die Konversation sofort verlassen wird, um das Limit der aktiven Konversationen zu umgehen.


    Um unsere Kunden und deren Nutzer zu schützen, haben wir eine neue Maßnahme implementiert, die einen derartigen Missbraucht verhindert und eine wirksame Verteidigung gegen vergleichbare Angriffsszenarien darstellt. Dazu haben wir in das Konversation-System der WoltLab Suite 3.0, 3.1 und 5.2 eine neue Berechtigung eingebaut, die die Anzahl der gestarteten Konversationen innerhalb eines 24-Stunden-Zeitfensters pro Benutzer begrenzt. Standardmäßig können 10 Konversationen gestartet werden, Administratoren werden standardmäßig von dieser Begrenzung befreit.


    Seitenbetreiber können die Begrenzung individuell pro Benutzergruppen konfigurieren, einschließlich dem Spezialwert -1, der die Beschränkung für die jeweilige Benutzergruppe vollständig aufhebt. Der Name der neuen Berechtigung lautet Maximale Anzahl gestarteter Konversation innerhalb von 24 Stunden.

    Zusätzlich korrigiert: Indirekte Ermittlung von unsichtbaren Teilnehmern in Konversationen

    Dieses Update korrigiert zusätzlich einen Fehler, durch den es mit Hilfe des Teilnehmer-Filters in der Liste der Konversationen möglich war, unsichtbare Teilnehmer in Konversationen aufzudecken, in dem die Liste der Konversationen mit den sichtbaren Teilnehmerlisten abgeglichen wurde. Dabei ist uns zusätzlich ein mögliches Performance-Problem im Zusammenhang mit diesem Filter aufgefallen, den wir ebenfalls korrigiert haben.

    Alexander Ebert
    Senior Developer WoltLab® GmbH