Joomla 2.5 Framework Frage

    Meine Frage richtet sich an Leute die sich mit der Joomla 2.5 Framework Logik/Struktur auskennen - und den Tip doch auf eine neuen Joomla Version umzustellen brauche ich nicht.

    Habe meine alte Joomla 2.5.9 Installation auf PHP7.2 migriert: Die normale Seite läuft schon mal aber beim Versuch das Admin-UI zu starten zeigt, dass es noch ein Problem bei der Session-Verwaltung gibt: Trotz korrekter Login Daten springt das UI immer wieder auf die Login Maske (es gibt dabei keinerlei Fehlermeldungen im

    Log und der hinein gepatchte Trace Output sagt, dass die Authentisierung erfolgreich ist).

    Interessant ist dabei folgender Effekt; Wenn ich den Apache zuvor mit PHP5.6 starte (auf diese Version hatte ich als ersten Schritt migriert) und bei derselben Joomla Instanz den obigen Login mache, dann funktioniert das tadellos. Wenn ich dann den eingeloggten Browser offen lasse und im Hintergrund den Server mit PHP7 neu starte, dann kann ich direkt wieder im Joomla Admin-GUI weiter machen (d.h. die PHP7 Fassung kann zwar korrekt mit einer bestehenden - via PHP5.6 angelegten - Session weiter machen, schafft es aber nicht eine einsprechende Session selbst korrekt anzulegen. Der Logout funktioniert dann von der PHP7 Fassung aus ebenfalls nicht, d.h. man bleibt eingeloggt.)

    Wenn hier jemand weiss wo die entsprechende Framework Logik durch läuft (bzw. der wahrscheinliche Auslöser für dieses Verhalten sein müsste), so würde dies meine Suche deutlich beschleunigen.

    Nachfolgend zitiere ich woj aus einem anderen Thread weil ich die Antwort nicht in dem von woj gekaperten Thread schreiben möchte weil :


    Zitat

    Neue Fragen, vor allem, wenn diese nicht vom Threadersteller kommen, nicht in schon bestehende Threads posten (Kapern eines Threads), sondern einen neuen eigenen Thread eröffnen.


    aus:

    Forenregeln



    Zitat von woj

    erzähl doch mal welche Sicherheitslücken das sind ...

    aus:

    Version 2.5 und PHP 7.1 Problem


    Antwort:


    Joomla 2.5.9 ist völlig veraltet und hat mehrere schwere Sicherheitslücken siehe z.B.:


    http://www.joomlaportal.de/joo…e-servus.html#post1567714


    Zitat

    Es gibt ein Sicherheits-Problem in Joomla! in sämtlichen Versionen von 1.5.x bis zu 3.4.5 im Zusammenhang mit einer Remote-Code-Ausführung. Dies wurde mit den nachfolgenden Updates in Joomla! 3.4.7 korrigiert.


    aus:

    https://docs.joomla.org/Securi…or_Joomla_EOL_versions/de


    weitere Sicherheitslücken können auch noch in Erweiterungen vorhanden sein die nicht bestandteil des Joomla-Core sind !

    Weitere Links bezüglich anschließendem Upgrade von 2.5.28 auf 3.x


    Update / Migration zu Joomla 3.x


    https://docs.joomla.org/Joomla…Step_by_Step_Migration/de

    Zitat

    Warning!

    Joomla! 2.5.28 kann nur in 2 Schritten migriert werden. Zuerst erfolgt die Migration nach 3.5.1. Anschließend upgrade von der 3.5.1 zur aktuellsten 3.x Version durch die Nutzung des "One-Click-Installers".

    Zitat von SniperSister

    Falls irgendwer per Google mal über diesen Thread stolpern sollte nochmal die eindrückliche Warnung: Joomla 2.5 ist massiv veraltet, hat dutzende Sicherheitslücken (RCE, SQLi, XSS, Open Redirects, File Deletion uvm.) und ist daher nicht seriös zu betreiben. Spart euch die Energie für die Portierung auf PHP7 und investiert sie stattdessen in eine vernünftige Migration auf Joomla 3.x

    aus:

    Version 2.5 und PHP 7.1 Problem

    Zitat von christine2

    Ergänzend zu Re:Later # 3

    Vielleicht als Nachtlektüre: https://www.php.net/manual/de/function.session-start.php

    Danke dass Sie als einzige in diesem Thread versucht haben tatsächlich auf die gestellte Frage zu antworten.

    Ich habe inzwischen die Ursache des Problems selbst gefunden. (Alle 08:15 Benutzer brauchen das nicht zu wissen und fahren natürlich besser wenn sie auf eine neuere Joomla Version setzen, deren Fehler heute noch nicht so bekannt sind wie die der alten..)

    Darum ausschliesslich der Vollständigkeit halber: Das Problem lag in dispatcher.php bei der Zeile:
    $key = key($this->_observers);
    die in PHP7 nicht mehr funktioniert, da die foreach loops den internen Status des Arrays $this->_observers nicht mehr verändern.. (derselbe Code ist per copy/paste noch an diversen anderen Stellen: observable.php, editor.php, captcha.php & authentication.php und es bleibt zu hoffen das neuere Versionen tatsächlich ohne solche Anfänger copy/paste Orgien auskommen...)

    Du verstehst die Antworten nicht oder willst sie nicht verstehen. Auch wenn es technisch möglich ist dein Problem zu lösen, ist es nicht sinnvoll dein Problem zu lösen. Schö für dich, aber du sitzt mit dieser Seite auf einer Hacking Zeitbombe. Dass du damit auch deine Seitenbesucher gefährdet ist dir ja klar. Rechtlich kann das ziemlich problematisch um nicht zu sagen teuer werden. Auch das weißt du ja sicher.

    Möchte hier nur klarstellen, dass ich den Link deswegen gepostet habe, weil dieser über PHP: session_xyz Infos hat.

    Zitat von woj

    ... (Alle 08:15 Benutzer brauchen das nicht zu wissen und fahren natürlich besser wenn sie auf eine neuere Joomla Version setzen, ...)

    Dann bin ich lieber ein bekennender 08:15 Benutzer, bevor ich Dein "... der Vollständigkeit halber ..." mit samt den von Lui_brempt angegebenen Folgen, umsetze.

    Und jetzt gehe ich mal wieder raus.

    Was nützt ein generalüberholter Motor, wenn bei einer "Schrottkarre" sicherheitsrelevante Teile durchgerostet sind. Würde dir kein Prüfer abnehmen. Auch wenn du damit vielleicht fahren kannst, wäre ein neues Auto definitiv die bessere Wahl.


    Warum spielst du die Gefahr herunter, wenn du dich so gut mit Programmiersprachen auskennst (siehe anderes Thema!). Sollte für dich doch eine Selbstverständlichkeit sein, so zu handeln, wie bereits mehrfach vorgeschlagen wurde.