Rechteproblem beim Erstellen eines Tickets mit Sonderzeichen

[docbt]

Hallo miteinander,

ich bin umgestiegen von Mantis 1.1.8 und arbeite jetzt mit Mantis 1.2.10. Das ist die letztfunktionierende Version in der ich die Möglichkeit besitze den Ticket Status zu verändern. Siehe mein angesprochenes Problem http://fluffy.mantisbt.org/forums/viewt ... =9&t=20614

In meiner Testumgebung (Ubuntu 12.04 LTS) habe ich die neuste Mantis Verison 1.2.15 installiert, auch teste ich parallel mit Mantis2GO.

Sobald ich ein Ticket/Eintrag anlegen möchte, egal ob öffentlich oder privat und eine Reihe von Sonderzeichen in diesem Text enthalten sind, erscheint folgende Fehlermeldung:

Forbidden

You don't have permission to access /bug_report.php on this server.

Das Gleiche beim Hinzufügen einer Notiz:

Forbidden

You don't have permission to access /bugnote_add.php on this server.

Ich habe auch schon entsprechend die Berechtigungen der Dateien bug_report.php, bugnote_add.php verändert und auch das .htaccess File entfernt/hinzugefügt. In meiner Testumgebung, ohne das Einfügen des sql dump, erscheint dieser Fehler nicht. Ich konnte nun den Zeichensatz auf 6 Zeichen beschränken bei dem der Fehler ausgelöst wird:

Code: Select all

("((()

Hat jemand hierzu einen hilfreichen Ratschlag, wie ich dieses Problem beheben kann?

Vielen Dank.

[atrol]

Mir ist es nicht gelungen das Problem nachzuvollziehen.
Ist es hier nachvollziehbar? http://www.atrol.de/mantisbt-1.2
Es handelt sich dabei um eine Testinstallation mit originalem 1.2.15

[docbt]

In der Originalen Mantis Version kann ich den Fehler nicht reproduzieren, weder in der Version 1.2.15 noch in der Version 1.2.10.

[atrol]

Wurde irgendeine Datei geändert, die zum Auslieferungsumfang von MantisBT gehört?
Sind zusätzliche Plugins installiert?
Sind "Custom Functions" installiert?
Wurde die Konfiguration von Plugins geändert, die zum Standard gehören, insbesondere "MantisBT Formatting 1.0a"
Welche Optionen sind in config_inc.php gesetzt?

[docbt]

Wurde irgendeine Datei geändert, die zum Auslieferungsumfang von MantisBT gehört?

Beim Login Fenster habe ich die beiden Links: zum erstellen eines neuen Accounts und zum zurücksetzen des Passworts ausgeblendet.

Sind zusätzliche Plugins installiert?
Sind "Custom Functions" installiert?
Wurde die Konfiguration von Plugins geändert, die zum Standard gehören, insbesondere "MantisBT Formatting 1.0a"

Nein, nichts dergleichen. Es wurden keine zusätzlichen Plugins oder Custom Functions installiert. MantisBT Formatting 1.0a ist auch noch vorhanden.

Welche Optionen sind in config_inc.php gesetzt?

$g_hostname
$g_db_type
$g_database_name
$g_db_username
$g_db_password
$g_administrator_email
$g_from_email
$g_phpMailer_method
$g_smtp_host
$g_path
$g_allow_file_upload
$g_max_file_size
$g_file_upload_method
$g_reminder_receive_threshold
$g_webmaster_email

[atrol]

Beim Login Fenster habe ich die beiden Links: zum erstellen eines neuen Accounts und zum zurücksetzen des Passworts ausgeblendet.

Hat zwar sehr wahrscheinlich nichts mit dem Problem hier zu tun, aber eine Änderung des Sourcecodes ist für diesen Zwck nicht notwendig.
Einfach die folgenden Zeilen in config_inc.php eintragen.

Code: Select all

$g_lost_password_feature = OFF;
$g_allow_signup = OFF;

Gibt es einen Grund warum $g_path gesetzt wird?
Dies ist in den meisten Fällen nicht notwendig. Ich würde den Eintrag entfernen falls es keinen besonderen Grund zum Setzen gibt.

Sonst habe ich leider keine Idee mehr.
Ich sehe keinen Zusammenhang zwischen der Fehlermeldung (no permission to access) und der Eingabe von bestimmten Zeichen.

Hier kommt als Ursache möglicherweise ein Fehler in PHP und/oder dem Webserver (ich nehme an Apache ist im Einsatz) in Frage.
Ist es richtig, dass das Problem unter Ubuntu 12.04 LTS nachvollziehbar ist?
Falls ja, ist das System auf dem aktuellsten Patchstand?

[docbt]

Gibt es einen Grund warum $g_path gesetzt wird?
Dies ist in den meisten Fällen nicht notwendig. Ich würde den Eintrag entfernen falls es keinen besonderen Grund zum Setzen gibt.

Mit dieser Variable ersetze ich die IP-Adresse mit der Webadresse in der automatisch generierten E-Mail.

Hier kommt als Ursache möglicherweise ein Fehler in PHP und/oder dem Webserver (ich nehme an Apache ist im Einsatz) in Frage.
Ist es richtig, dass das Problem unter Ubuntu 12.04 LTS nachvollziehbar ist?
Falls ja, ist das System auf dem aktuellsten Patchstand?

Das System läuft auf einem Ubuntu 12.04 LTS und wird fast täglich einem Update Check unterzogen.

[atrol]

In der Originalen Mantis Version kann ich den Fehler nicht reproduzieren, weder in der Version 1.2.15 noch in der Version 1.2.10.

Und das auf dem gleichen Ubuntu 12.04 LTS Server?

[docbt]

Ja genau, meine Virtuelle Umgebung ist ein Ubuntu 12.04 LTS Server

[atrol]

Weder mit einem "frischen" 1.2.10 oder 1.2.15 tritt das Problem auf.
Nicht mit Mantis2Go unter Windows und auch nicht unter Ubuntu 12.04 LTS.
Wir landen also wieder beim gleichen Problem der Nachvollziehbarkeit wie hier http://www.mantisbt.org/forums/viewtopi ... =9&t=20614
Ohne diesen Datenbankdump lässt sich das Problem wohl nicht nachvollziehen.

[docbt]

Das habe ich mir schon bald gedacht.

Gibt es eine Möglichkeit das Interpretieren / Parsen von Zeichencode in den Beschreibungen bzw. Notizen eines Tickets auszustellen?
Sobald man einen Link eingibt wandelt Mantis diesen um, genauso verhält es sich wenn Codezeilen eingibt. Da es im Zusammenhang mit diesem
Datenbankdump einige Probleme gibt, wird sich dieses Phänomen auch darauf zurückführen.

Wenn ich den Inhalt des Datenbankdump leere um ihn tranportabel zu machen, hilft das eventuell auch schon weiter?

[atrol]

Gibt es eine Möglichkeit das Interpretieren / Parsen von Zeichencode in den Beschreibungen bzw. Notizen eines Tickets auszustellen?

Ja, in der Konfigurationsseite des Plugins "MantisBT Formatting" kann dies gesteuert werden. Die Hinweise was das Thema Sicherheit angeht sollte man auf jeden Fall beachten.
Gerade im Umfeld Parsing hatten wir Probleme, s. z.B. http://www.mantisbt.org/bugs/view.php?id=14447 , auch ein Grund, warum ich zu der aktuellsten Version rate. (ich weiß, da ist ja noch das andere Probleme ...)

Wenn ich den Inhalt des Datenbankdump leere um ihn tranportabel zu machen, hilft das eventuell auch schon weiter?

Möglicherweise ja, dazu wird aber kein Dump gebraucht.
Für diesen Zweck reicht es aus, wenn man die 31 Datenbanktabellen eines frisch installierten MantisBT bezüglich der Struktur mit denen des problematischen Dumps vergleicht.
D.h., sind alle Tabellen vorhanden, keine zusätzlichen vorhanden, sind alle Spalten in den Tabellen mit dem gleichen Datentyp vorhanden. (z.B. phpMyAdmin verwenden)

[docbt]

Ja, in der Konfigurationsseite des Plugins "MantisBT Formatting" kann dies gesteuert werden. Die Hinweise was das Thema Sicherheit angeht sollte man auf jeden Fall beachten.

Ist das der einzige Weg? Ich habe testweise alle Funktionen in der MantisBT-Formatierung: Konfiguration ausgeschalten. Der Fehler bleibt jedoch weiterhin enthalten.

Wenn ich versuche die Tabellen in der Datenbank zu leeren und neu mit Mantis admin/install.php anpassen lassen möchte, meldet Mantis jede Tabelle als schon vorhanden. Auch bei einem völlig neu aufgesetzten Mantis kann ich die Datenbank nicht nochmal über install.php anpassen lassen nachdem ich die Tabellen geleert habe.
Ich werde mich auch ransetzen und nochmal die Tabellenstrukturen vergleichen.

[atrol]

Ist das der einzige Weg? Ich habe testweise alle Funktionen in der MantisBT-Formatierung: Konfiguration ausgeschalten. Der Fehler bleibt jedoch weiterhin enthalten.

Man könnte das Plugin auch noch komplett deinstallieren. Nur was hilft das denn? Ein Arbeiten ohne das Plugin macht wenig Sinn, da Tür und Tor für XSS geöffnet wird und Funktionalität verloren geht.

[docbt]

Man könnte das Plugin auch noch komplett deinstallieren. Nur was hilft das denn? Ein Arbeiten ohne das Plugin macht wenig Sinn, da Tür und Tor für XSS geöffnet wird und Funktionalität verloren geht.

Hallo atrol,

ich habe zum Test das Plugin deinstalliert und dennoch erscheint die Fehlermeldung.