- Posts: 10
- Thank you received: 0
Welcome to the LimeSurvey Community Forum
Ask the community, share ideas, and connect with other LimeSurvey users!
CKEditor 4.16.2
- Thomas_T
- Topic Author
- Offline
- New Member
Less
More
2 years 4 months ago #222618
by Thomas_T
CKEditor 4.16.2 was created by Thomas_T
Hallo zusammen,
wir setzen bei uns die LimeSurvey Community Edition (Version 3.27.19+210928) ein.
Jetzt hat ein scannen des Systems ergeben, das bei Limesurvey der CKEditor 4.16.2 eingesetzt wird, welcher Sicherheitslücken aufweist.
Es gibt vom CKEditor bereits die Version 4.17.1, wo die Sicherheitslücke geschlossen worden ist.
Kann ich den CKEditor im Ordner /assets/packages/ckeditor selbst austauschen?
Wenn ja, gibt es was zu beachten?
Wenn nein, kann man vielleicht eine neuere Version in einem der nächsten Updates von Limesurvey einbinden?
Ich hatte testweise die aktuelle Version von Limesurvey (3.27.27) runtergeladen und entpackt. Aber auch hier ist noch die Version CKEditor 4.16.2 enthalten.
Vielen Dank im voraus und viele Grüße
Thomas
wir setzen bei uns die LimeSurvey Community Edition (Version 3.27.19+210928) ein.
Jetzt hat ein scannen des Systems ergeben, das bei Limesurvey der CKEditor 4.16.2 eingesetzt wird, welcher Sicherheitslücken aufweist.
Es gibt vom CKEditor bereits die Version 4.17.1, wo die Sicherheitslücke geschlossen worden ist.
Kann ich den CKEditor im Ordner /assets/packages/ckeditor selbst austauschen?
Wenn ja, gibt es was zu beachten?
Wenn nein, kann man vielleicht eine neuere Version in einem der nächsten Updates von Limesurvey einbinden?
Ich hatte testweise die aktuelle Version von Limesurvey (3.27.27) runtergeladen und entpackt. Aber auch hier ist noch die Version CKEditor 4.16.2 enthalten.
Vielen Dank im voraus und viele Grüße
Thomas
The topic has been locked.
- Joffm
- Away
- LimeSurvey Community Team
Less
More
- Posts: 12888
- Thank you received: 3965
2 years 4 months ago #222633
by Joffm
Volunteers are not paid.
Not because they are worthless, but because they are priceless
Replied by Joffm on topic CKEditor 4.16.2
Hallo, Thomas,
zunächst sei gesagt, dass wir hier, die Benutzer von LimeSurvey, die versuchen anderen Benutzern zu helfen, nicht die richtigen Ansprechpartner sind.
Da sind eher die Entwickler gefragt.
Aber.
Ich habe mich ein wenig schlau gemacht.
Du sagst, Ihr setzt 3.27.19 vom 28.9.2021 ein, in welcher der CKEditor 4.16.2. sein Werk tut.
Diese Version 4.16.2. ist am 12.8.2021 veröffentlicht worden.
Die Implementierung in LimeSurvey war also sehr kurz danach .
4.17.1. wurde am 17.11.2021 veröffentlicht. Daher würde ich davon ausgehen, dass dieses Release ebenfalls zeitnah in LimeSurvey erscheinen wird.
Und 3.27.27. ist vom 29.11.2021. Das wäre aber wohl sehr optimistisch gewesen.
Und wenn ich mir die Changelogs anschaue finde ich in mindestens jedem zweiten neuen Release Security fixes.
Gut, dies ist das eine, was Dir aber wirklich eher die LimeSurvey-Leute sagen können.
CKEditor austauschen?
Keine Ahnung, in einer Testinstallation ausprobieren.
Dabei sind dann die LimeSurvey-spezifischen Menueeinträge zu berücksichtigen, z.B. plugin "Createlimereplacementfields".
Und der KCFinder muss auch richtig angeschlossen werden.
Mehr kann ich dazu nicht sagen
Viele Grüße
Joffm
zunächst sei gesagt, dass wir hier, die Benutzer von LimeSurvey, die versuchen anderen Benutzern zu helfen, nicht die richtigen Ansprechpartner sind.
Da sind eher die Entwickler gefragt.
Aber.
Ich habe mich ein wenig schlau gemacht.
Du sagst, Ihr setzt 3.27.19 vom 28.9.2021 ein, in welcher der CKEditor 4.16.2. sein Werk tut.
Diese Version 4.16.2. ist am 12.8.2021 veröffentlicht worden.
Die Implementierung in LimeSurvey war also sehr kurz danach .
4.17.1. wurde am 17.11.2021 veröffentlicht. Daher würde ich davon ausgehen, dass dieses Release ebenfalls zeitnah in LimeSurvey erscheinen wird.
Und 3.27.27. ist vom 29.11.2021. Das wäre aber wohl sehr optimistisch gewesen.
Und wenn ich mir die Changelogs anschaue finde ich in mindestens jedem zweiten neuen Release Security fixes.
Gut, dies ist das eine, was Dir aber wirklich eher die LimeSurvey-Leute sagen können.
CKEditor austauschen?
Keine Ahnung, in einer Testinstallation ausprobieren.
Dabei sind dann die LimeSurvey-spezifischen Menueeinträge zu berücksichtigen, z.B. plugin "Createlimereplacementfields".
Und der KCFinder muss auch richtig angeschlossen werden.
Mehr kann ich dazu nicht sagen
Viele Grüße
Joffm
Volunteers are not paid.
Not because they are worthless, but because they are priceless
The topic has been locked.
- holch
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 11639
- Thank you received: 2737
2 years 4 months ago #222645
by holch
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
Replied by holch on topic CKEditor 4.16.2
Kurzfristige Lösung, wenn ihr euch wegen dem Sicherheitsproblem in CKEditor 4.16.2 grosse Sorgen macht: Auf globaler Eben den WYSIWYG-Editor erstmal ausschalten.
Dann würde ich auch noch einen Bug-Report machen, um sicher zu stellen, dass die Entwickler das mitbekommen. Ich denke, sie beobachten das, aber ein Hinweis kann sicher nicht schaden.
Ansonsten wie Joffm. Es dauert im Normalfall etwas, bis solche Updates für externen Skripte es in einen neuen LS-Release schaffen. Bin ehrlich gesagt überrascht, dass die Vorgängerversion so schnell eingeflegt wurde, wie Joffm recherchiert hat.
Dann würde ich auch noch einen Bug-Report machen, um sicher zu stellen, dass die Entwickler das mitbekommen. Ich denke, sie beobachten das, aber ein Hinweis kann sicher nicht schaden.
Ansonsten wie Joffm. Es dauert im Normalfall etwas, bis solche Updates für externen Skripte es in einen neuen LS-Release schaffen. Bin ehrlich gesagt überrascht, dass die Vorgängerversion so schnell eingeflegt wurde, wie Joffm recherchiert hat.
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
The topic has been locked.
- Thomas_T
- Topic Author
- Offline
- New Member
Less
More
- Posts: 10
- Thank you received: 0
2 years 4 months ago #222653
by Thomas_T
Replied by Thomas_T on topic CKEditor 4.16.2
Hallo zusammen,
vielen Dank für eure Antworten. Ich werde auf jeden Fall noch einen Bug-Report aufmachen, damit es schon mal adressiert ist.
Ich habe eben schon mal geschaut, es aber auf Anhieb nicht gefunden... Wo kann man den Editor denn auf globaler Ebene ausstellen?
Geht das über das Webinterface oder muss ich es auf der Command-Line machen?
Viele Grüße
Thomas
vielen Dank für eure Antworten. Ich werde auf jeden Fall noch einen Bug-Report aufmachen, damit es schon mal adressiert ist.
Ich habe eben schon mal geschaut, es aber auf Anhieb nicht gefunden... Wo kann man den Editor denn auf globaler Ebene ausstellen?
Geht das über das Webinterface oder muss ich es auf der Command-Line machen?
Viele Grüße
Thomas
The topic has been locked.
- holch
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 11639
- Thank you received: 2737
2 years 4 months ago #222654
by holch
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
Replied by holch on topic CKEditor 4.16.2
Geht natürlich im Webinterface als Superadmin in den globalen Einstellungen.
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
The topic has been locked.
- holch
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 11639
- Thank you received: 2737
2 years 4 months ago #222656
by holch
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
Replied by holch on topic CKEditor 4.16.2
Configuration --> Global Settings --> Default HTML editor mode: --> HTML Source
Ich weiss jetzt aber nicht, ob das der User auf der User-Ebene dann überschreiben kann. Früher konnte man meines Wissens nach sagen, dass der Editor nicht angezeigt wir. Jetzt sieht mir das so aus, als wäre das ein Default-Wert, den man dann individuell ändern kann.
Ich weiss jetzt aber nicht, ob das der User auf der User-Ebene dann überschreiben kann. Früher konnte man meines Wissens nach sagen, dass der Editor nicht angezeigt wir. Jetzt sieht mir das so aus, als wäre das ein Default-Wert, den man dann individuell ändern kann.
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
The topic has been locked.
- Thomas_T
- Topic Author
- Offline
- New Member
Less
More
- Posts: 10
- Thank you received: 0
2 years 4 months ago #222659
by Thomas_T
Replied by Thomas_T on topic CKEditor 4.16.2
Hallo,
danke für die schnelle Antwort. Werde es mal testweise ausschalten und schauen was die User dazu sagen...
Und für den Bug-Report... ist das die richtige URL: bugs.limesurvey.org/main_page.php
Viele Grüße
Thomas
danke für die schnelle Antwort. Werde es mal testweise ausschalten und schauen was die User dazu sagen...
Und für den Bug-Report... ist das die richtige URL: bugs.limesurvey.org/main_page.php
Viele Grüße
Thomas
The topic has been locked.
- holch
- Offline
- LimeSurvey Community Team
Less
More
- Posts: 11639
- Thank you received: 2737
2 years 4 months ago #222660
by holch
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
Replied by holch on topic CKEditor 4.16.2
Ja, oben rechts auf den Button "Report Issue" klicken.
Logindaten sind die gleichen wie im Forum.
Logindaten sind die gleichen wie im Forum.
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
The topic has been locked.
Moderators: Joffm