Sicherheitslücke in Piwik 0.5 behoben
Eine schwere Sicherheitslücke in älteren Piwik-Versionen ist entdeckt worden, die in der kürzlich erschienen Version 0.5 behoben wurde. Durch präparierte Cookies kann fremder PHP-Code auf dem System ausgeführt werden, womit der Angreifer das ganze System seine Kontrolle bringen kann.
Ein Update über die Piwik-Oberfläche wurde mir, anders als sonst, nicht angeboten. Somit wurde ich erst durch den Artikel über die Sicherheitslücke auf heise darauf hingewiesen.
Fehler nach Update: “Widget nicht gefunden”
Sollten nach dem Update einige Widgets nicht mehr funktionieren, so kann ein kurzfristiges wechseln der Sprache das Problem beheben. Beim Wechel zurück zur vorherigen Auswahl sollte nun wie Widgets wie voher laufen.
Tipp: Sicherheit im Blick
Zu den wichtigsten Feeds die ich aboniere, gehört u.a. heise Security. Warnungen und Hinweise zum Thema Sicherheitslücken, bekannter und verbreiteter Software, werden dort recht zeitnah veröffentlicht.
Piwik 0.4.4 – Update mit Hindernissen
Eben wollte ich über die Piwik-Oberfläche das Update durchführen. Doch dank meiner PHP-Konfiguration, open_basedir um genau zu sein, bin ich mit folgender Fehlermeldung hängen geblieben.
Warning: is_writable() [function.is-writable]: open_basedir restriction in effect. File(/var/lib/php5) is not within the allowed path(s)
Im Bugtracker vom Piwik habe ich jedoch schnell die Lösung gefunden. In der Datei index.php, Zeile 55, muss ein @ hinzugefügt werden, dies unterdrückt die Meldung. Das ist meiner Ansicht nach in diesem Fall legitim. So sieht die geänderte Zeile nun aus, damit alles wieder läuft:
if(!@is_writable(ini_get(’session.save_path’)))
[Nachtrag]
Mit der Version 0.4.5 wurde dieses Problem behoben, es ist nun kein editieren der Sourcen nötig
Piwik 0.4.3 behebt Bing-Problem
Heute ist ein neues Update von Piwik erschienen und zwar die Version 0.4.3. Laut dem Changelog sollte sich hiermit auch das Problem mit den seltsamen Besuchern erledigt haben.
- #888 – Filtering out Bing spambot
Ich habe vor ein paar Monaten darüber geschrieben. Als aus Microsofts Suchmaschine Live dann Bing wurde, hatte ich zwischenzeitig keine dieser Botbesuche mehr. Nun ja, seit ein paar Tagen sind es wieder bis zu 5 Zugriffe täglich.
Details gibt es in den entsprechenden Tickets 888 und 686.
Howto: Piwik Einstellungen anpassen
Manchmal bringen mir Besucher, die mich über bestimmte Begriffe in Suchmaschinen gefunden haben, Anregungen und Ideen. So wie eben als ich in meinen Statistiken den Suchbegriff “piwik immer letzten stand anzeigen” entdeckt habe. Und in der Tat, auch ich habe gern die aktuellen Daten vom Tag auf dem Schirm. Bisher ging mein erster Klick meisst auf den Kalender um dies manuell umzustellen. Doch es geht auch einfacher.
In Order config befinden sich mehrere Dateien, darunter die config.ini.php in der wir eigene Einstellungen eintragen können, sowie die global.ini.php mit Standardwerten für Piwik. In letzterer sind auch viele nützliche Kommentare enthalten, um überhaupt zu verstehen was der jeweilige Parameter bewirkt. Beim durchforsten der global.ini.php entdecken wir folgende Zeile:
; When loading piwik interface, we redirect the user to ; 'yesterday' statistics by default ; Possible values: yesterday, today, or any YYYY-MM-DD default_day = yesterday
Hier sehen wir also, dass der Schlüssel default_day mit dem Parameter yesterday versehen ist. Alternativ kann laut Kommentar auch der heutige Tag gewählt werden (today) oder ein anderes festes Datum im Format YYYY-MM-DD. Ich würde wie eingangs erwähnt gerne die aktuellsten Daten sehen wollten, daher habe ich folgendes ans Ende meiner config.ini.php eingetragen:
[General] default_day = today
Nun sehe ich nach dem einloggen gleich die gewünschten Informationen ohne weitere Klicks.
Hinweis: Diese Dateien sind Initialisierungsdateien (siehe Wikipedia) und haben somit verschiedene Sektionen in denen bestimmte Werte gruppert sind. Kopien wir also einen Zeile aus der [Global] Sektion, so müssen wir diese beim einpflegen in die config.ini.php in die entsprechend gleichnamige Sektion setzen. Ist eine solche nicht vorhanden, so muss diese von Hand nachgetragen werden.
Piwik 0.2.37 – Upgrade wieder zu empfehlen
Nachdem die Version 0.2.35 nach dem Upgrade einige Probleme verursacht hat, haben die Entwickler einiges getan um dies wieder gerade zu ziehen. Wird den Kommentaren im Piwik-Forum glauben geschenkt, so kann nun wieder mit ruhigen Gewissen der aktuelle Stand benutzt werden.
Noch ein Tipp am Rande: Die eingebaute Upgradefunktion macht kein automatisches Backup vor dem einspielen. Dies sollte unbedingt manuell im Vorfeld geschehen um nach einem evtl. gescheiterten Vorgang den alten Stand wiederherstellen zu können. Ich sichere hierzu das ganze Piwik-Verzeichnis und mache eine Datenbank Sicherung – neben den eh schon nächtlichen laufenden Backups.
Besser nicht auf Piwik 0.2.35 upgraden?
Selbst nach dem löschen des Browsercaches habe ich massig Fehler. Viele Widgets im Dashboard werden einfach nicht geladen oder zeigen als Meldung “C:\Users\John\Documents\flash\svn\data-files\data-47.txt” an. Im Piwik-Forum häufen sich diese Meldungen.
Ich würde also raten, Version 0.2.3.5 NICHT zu installieren und abzuwarten bis es eine fehlerbereinigte Version gibt.
[Nachtrag]
Es scheint einen umständlichen Workaround zu geben, der funktioniert. Bei mir erst im zweiten Durchlauf, da ich das mit dem Logout/Login erst nicht gemacht habe. Und so geht’s:
- fehlerhafte Widgets aus dem Dashboard löschen
- logout aus Piwik
- alle Dateien aus /tmp/templates_c löschen
- Browsercache löschen
- login in Piwik
- Widgets installieren
Zugegeben, es ist kein schöner Workaround. Wenn jedoch kein Backup vorhanden ist um den alten Zustand (z.B. 0.2.34) wiederherzustellen, ist das eine Lösung der Probleme.