Blog

Admidio 4.1.13 released

Due to a security problem within the message module we release this version. Within version 4.1.0 to 4.1.12 it is possible to view a message (Email or PM) if you know the exact UUID of the message. It's not that easy to get a valid UUID of a system but if you get one you were able to view the message without the right to do so.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.13


The Admidio Team

-----------------------------------------------------------------------------------

Aufgrund eines Sicherheitsproblems innerhalb des Nachrichtenmoduls geben wir diese Version frei. In den Versionen 4.1.0 bis 4.1.12 ist es möglich, eine Nachricht (Email oder PM) einzusehen, wenn man die genaue UUID der Nachricht kennt. Es ist nicht so einfach, eine gültige UUID eines Systems zu bekommen, aber wenn eine ermittelt werden konnte, konnte die Nachricht ohne ein entsprechendes Recht eingesehen werden.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.13 herunterladen

Das Admidio Team

Admidio 4.1.12 released

This release fixes two bugs that occurs when updating from version 3.x directly to version 4.1. There are no other bugfixes or improvements made. So you only need this version if you don't have version 4.1 already and want to perform an update.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.12


The Admidio Team

-----------------------------------------------------------------------------------

Diese Version behebt zwei Fehler, die beim direkten Update von Version 3.x auf Version 4.1 auftreten. Es wurden keine weiteren Fehlerbehebungen oder Verbesserungen vorgenommen. Du benötigst diese Version also nur, wenn du die Version 4.1 noch nicht hast und ein Update durchführen möchtest.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.12 herunterladen

Das Admidio Team

Admidio 4.1.11 released

Some bugfixes and changes of the last weeks are solved within this version.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.11


The Admidio Team

-----------------------------------------------------------------------------------

Einige Fehlerbehebungen und Änderungen der letzten Wochen sind in dieser Version umgesetzt.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.11 herunterladen

Das Admidio Team

Admidio 4.1.10 released

Due to an error during the installation of Admidio there is a new release after only a few days. Besides that, some other minor bugs have been fixed..

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.10


The Admidio Team

-----------------------------------------------------------------------------------

Aufgrund eines Fehler bei der Installation von Admidio gibt es bereits nach wenigen Tagen ein neues Release. Nebenbei sind aber noch weitere kleinere Fehler behoben worden.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.10 herunterladen

Das Admidio Team

Admidio 4.1.9 released

Within this release we have fixed a security bug. After a password change through the user not all sessions of that user were reset. This is now fixed.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.9


The Admidio Team

-----------------------------------------------------------------------------------

In dieser Version haben wir einen Sicherheitsfehler behoben. Nach einer Passwortänderung durch den Benutzer wurden nicht alle Sitzungen dieses Benutzers zurückgesetzt. Dies ist nun behoben.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.9 herunterladen

Das Admidio Team

New wiki page how to configure the profile

We have set up a new wiki page about the profile. If you are interested please have a look at the page and give us some feedback within the forum.

Admidio 4.1.8 released

This release contains a lot of bug fixes. Have a look at our issue tracker for all the fixes we made.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.8


The Admidio Team

-----------------------------------------------------------------------------------

Dieses Release enthält sehr viele Fehlerkorrekturen. Bitte schaut in unsere Änderungshistorie für eine genauere Übersicht.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.8 herunterladen

Das Admidio Team

Security improvements in Admidio 4.1

Admidio 4.1 has received several improvements to prevent cross-site scripting (XSS) attacks, which we would like to present here. This should also encourage you to update to version 4.1 as soon as possible.

The most obvious change you might stumble over first is the change from the ID in a URL to the UUID (Universal unique identifier). This turns the unique ID of a record in a table e.g. 298 into a longer unique UUID e.g. 123e4567-e89b-12d3-a456-426614174000 . We have introduced these UUIDs at all places in the program where IDs are called via the URL. What is the advantage of this new identification of a record? With the old ID, you quickly notice that it is simply incremented by one digit with each data record. So as an attacker I can easily build a script that calls the URL to delete a member in a loop.
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=1
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=2
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=3
...
Now all I have to do is direct a logged in administrator to my website and run this script. Then all members are deleted.
With the UUID I can not do this so easily, because I do not know the IDs. These are almost worldwide unique and can not be traced. To create such a script as an attacker, he would need access to your member administration beforehand and would have to read out the UUIDs of the members.
If you have previously stored links with an ID somewhere, you must now adapt them.
The previous URL: https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_id=1 must be changed to the following URL: : https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_uuid=123e4567-e89b-12d3-a456-426614174000
A list of all possible transfers to the modules can be found in our wiki.

Another change in Admidio 4.1 is the introduction of a CSRF token. This is a longer random ID which is regenerated with every page visit. The token is now sent to the server with every form and every executing call. The server compares the sent token with the token stored there and executes the function only if these two tokens are identical. With this adjustment it can be prevented that someone executes a link, e.g. the one above, on a foreign web page. The foreign site usually does not know your current session token.

Both adjustments make your site more secure against so called Cross-Site-Scripting (XSS) attacks where the attacker leads logged in users to his site to execute his customized scripts. It was and is not possible to execute a script directly on your installation, which changes data without the user consciously doing so.

---------------------------------------------------------------------------------

Admidio 4.1 hat verschiedene Verbesserungen zur Prävention von Cross-Site-Scripting (XSS) Attacken bekommen, welche wir hier kurz vorstellen wollen. Dies soll euch auch dazu animieren möglichst zeitnah auf die Version 4.1 zu aktualisieren.

 

Die offensichtlichste Änderung über die ihr vielleicht auch als erstes stolpern werdet, ist die Umstellung von der ID in einer URL zu der UUID (Universal unique identifier). Damit wird aus der eindeutigen ID eines Datensatzes in einer Tabelle z.B. 298 eine längere einzigartige UUID z.B. 123e4567-e89b-12d3-a456-426614174000 . Diese UUIDs haben wir an allen Stellen im Programm eingeführt an denen IDs über die URL aufgerufen werden. Was ist der Vorteil dieser neuen Identifikation eines Datensatzes? Bei der alten ID stellt man schnell fest, dass diese mit jedem Datensatz einfach um eine Stelle hochgesetzt wird. Als Angreifer kann ich also leicht ein Script bauen, welches die URL zum Löschen eines Mitglieds in einer Schleife aufruft.

https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=1

https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=2

https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=3

Nun muss ich nur noch einen angemeldeten Administrator auf meine Webseite leiten und dieses Script ausführen lassen. Anschließend sind dann alle Mitglieder gelöscht.

Mit der UUID kann ich dies nicht so einfach machen, da ich die IDs nicht kenne. Diese sind nahezu weltweit einmalig und können nicht nachvollzogen werden. Um so ein Script als Angreifer zu erstellen, bräuchte er vorher Zugang zu eurer Mitgliederverwaltung und müsste die UUIDs der Mitglieder auslesen.

Habt ihr vorher irgendwo Links mit einer ID hinterlegt, so müsst ihr diese nun anpassen.

Die bisherige URL: https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_id=1 muss auf folgende URL geändert werden: : https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_uuid=123e4567-e89b-12d3-a456-426614174000

Eine Auflistung aller möglichen Übergaben zu den Modulen findet ihr in unserem Wiki.

 

Eine weitere Änderung von Admidio 4.1 ist die Einführung eines CSRF-Token. Dies ist eine längere zufällige ID, welche bei jedem Seitenbesuch neu generiert wird. Das Token wird jetzt mit jedem Formular und jedem ausführenden Aufruf mit an den Server geschickt. Dieser vergleicht das gesendete Token mit dem dort hinterlegten Token und führt die Funktion nur aus, sofern diese beiden Token identisch sind. Mit dieser Anpassung kann verhindert werden, dass jemand auf einer fremden Webseite einen Link, wie z.B. den oberen ausführt. Die fremde Seite kennt i.d.R. nicht euer aktuelles Session-Token.

 

Beide Anpassungen machen eure Seite sicherer gegen sogenannte Cross-Site-Scripting (XSS) Attacken bei der der Angreifer angemeldete Benutzer auf seine Seite führt um dort dann seine angepassten Skripte ausführen zu lassen. Es war und ist bisher nicht möglich gewesen direkt auf eurer Installation ein Script auszuführen, welches Daten verändert, ohne dass der Benutzer dies bewusst durchgeführt hat.

 

Admidio 4.1.7 released

Another release with some bugfixes. Within the members management it wasn't possible to create a copy of an existing member. The function had updated the original member.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.7


The Admidio Team

-----------------------------------------------------------------------------------

Ein weiteres Release mit einigen Bugfixes. In der Mitgliederverwaltung war es nicht möglich, eine Kopie eines bestehenden Mitglieds zu erstellen. Die Funktion hatte das Originalmitglied aktualisiert.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.7 herunterladen

Das Admidio Team

Admidio 4.1.6 released

In this release, we fixed a bug with the select boxes. Here, in some cases, the first entry was not mapped correctly, which could lead to different errors in Adimidio.

A full list of all bugfixes can be found in our issue tracker!

We recommend you to read our announcements for version 4.1 if you have not done before.

If you are new to Admidio and want to install it on your webpage than the following wikipage could help:Install Admidio
The following wiki pages maybe interesting on an Update:
Update Admidio
Update from version 2 or 3 to version 4

Download Admidio 4.1.6


The Admidio Team

-----------------------------------------------------------------------------------

In dieser Version haben wir einen Fehler bei den Auswahlboxen behoben. Hier wurde in einigen Fällen der erste Eintrag nicht korrekt zugeordnet, was zu verschiedenen Fehlern in Adimidio führen konnte.

Eine vollständige Liste aller Fehlerbehebungen könnt ihr in unserer Änderungshistorie sehen!

Wir empfehlen euch die Ankündigungen für Version 4.1 zu lesen, falls ihr dies nicht bereits gemacht habt.

Wenn du neu zu Admidio gestoßen bist und Admidio auf deiner Homepage installieren möchtest, folge bitte der Anleitung in unserem Wiki:Admidio installieren
Die folgenden Links helfen dir bei einem Update deiner vorhandenen Installation:
Admidio aktualisieren
Aktualisierung der Version 2 oder 3 auf Version 4

Admidio 4.1.6 herunterladen

Das Admidio Team