Обновление безопасности - InstantCMS 1.6.2

15 мая 2010 - Администратор

Обновление в первую очередь спровоцировано сообщением от одного благородного человека с античата, который обнаружил несколько уязвимостей.

Повода для паники нет, т.к. чтобы воспользоваться найденными уязвимостями нужно обладать серьезными познаниями в SQL и не только. Но обновиться все равно необходимо.

Так же патч несет в себе несколько улучшений и новых функций.

Список изменений

  • Ядро → Закрыто несколько уязвимостей;
  • Ядро → Убрано дублирование страниц со слэшем на конце и без него, через редирект 301;
  • Поиск → Убрано слово "content" из ссылок на найденные статьи;
  • Модули → Доработан модуль "Меню", теперь его вывод полностью перенесен в шаблон. Сам шаблон можно указать в админке для каждой копии модуля;
  • Клубы → Исправлена возможность повторного создания клуба пользователем, при заходе по прямой ссылке;
  • Универсальный каталог → Добавлен экспорт RSS;
  • Форум → Добавлен экспорт RSS;
  • ББ-код → Добавлен тег "Зачеркнутый текст";
  • ББ-код → Добавлен тег "Спойлер";
  • ББ-код → Добавлен тег "Вставить mp3";

Как обновиться

Для версии 1.6.1: скачать архив и просто распаковать на сайте, без миграции

Для версии 1.5.3: обновление описано здесь

 

Комментарии (50)
[ECHO]ALiDozer # 16 мая 2010 в 09:46 +4
Спойлеры! Я молча мечтал об этой возможности =).
Спасибо.
0 # 16 мая 2010 в 13:55 0
присоединяюся)) спойлеры наканец таки они)
almond # 16 мая 2010 в 11:34 0
Отличное обновление, спасибо!
Только, думаю, неподготовленным пользователям было бы удобнее добавить прямо при нажатии кнопки «Вставить mp3» возможность загрузки файла на сервер со своего компьютера, так, как это сделано с кнопкой «Загрузить и вставить фото».
Администратор # 16 мая 2010 в 12:57 +2
для этого нужно делать изменения в базе, и миграцию как следствие
поэтому пока так, с загрузкой будет позже
... # 16 мая 2010 в 19:40 +1
Будем ждать, интересная возможность. Только сделать бы выбор- загрузить или вставить ссылку.
0 # 16 мая 2010 в 13:22 0
Обновился, и у меня не открывается главная страница!!! Подскажите пожалуйста, что не так???
Администратор # 16 мая 2010 в 13:50 0
точнее формулируйте проблему, что значит "не открывается"
Alex # 16 мая 2010 в 13:39 0
после патча некорректно отображается модуль "меню".
Администратор # 16 мая 2010 в 13:50 0
mod_menu.tpl в своем шаблоне обновили?
Alex # 16 мая 2010 в 16:04 0
Да, теперь все ОК.
0 # 16 мая 2010 в 13:52 0
"Не открывается" - вылазит страница с 404 ошибкой
Администратор # 16 мая 2010 в 15:47 0
если на главной 404 - проблема явно не в движке, смотрите настройки сервера
0 # 16 мая 2010 в 16:04 0
Так это после установки патча произошло, самое главное другие страницы открываются! Просто даже предположить не могу что же произошло. Подскажите пожалуйста где копать?
0 # 16 мая 2010 в 22:16 0
Так ни кто не подскажет? cry
... # 16 мая 2010 в 22:42 +1
А случаем не устанавливали какие нить хаки, у меня к примеру после обновления не открылись блоги, прописал все изменения и все пошло.
0 # 16 мая 2010 в 23:30 0
Устанавливал, и не один! Ладно, буду разбираться с хаками. У меня еще шаблон не пошел от 1.53, а тут вообще без главной страницы теперь.
... # 17 мая 2010 в 00:04 0
Переключиться на дефолтный шаблон и посмотреть.
Администратор # 17 мая 2010 в 11:20 0
скачайте заново архив, должно помочь
0 # 17 мая 2010 в 13:36 0
Нашел проблему! Gray был прав! Раньше устанавливал хак каталога статей, все из-за него! Спасибо за подсказку!
0 # 16 мая 2010 в 14:04 0
в спойлере проблема
Если внутри спойлера вставить тег [video] с кодом rutube то открывая спойлер, отображаеться [ video] код плеера [ /video] вместе смаого плеера
убираю спойлер, отображаеться нормально (
Администратор # 16 мая 2010 в 16:43 0
скачайте заново архив, поправил вставку видео в спойлер
wmaximum # 16 мая 2010 в 14:19 0
Спасибо, обновился, все вроди работает.
wmaximum # 16 мая 2010 в 14:38 0
Заметил один косяк, при заходе на RSS блога, не отображается содержимое постов, только заголовки.
Администратор # 16 мая 2010 в 15:47 0
и вовсе это не косяк
forlord # 16 мая 2010 в 16:59 0
там просто все сделать, чтоб был и сам текст
... # 16 мая 2010 в 17:03 -1
Чет блоги престали открываться, белый экран 8...
... # 16 мая 2010 в 17:14 -3
Все норм, это мой косяк?
Кто минусанул предыдущий пост, аргументируйте пожалуйста.
0 # 16 мая 2010 в 17:38 0
Основной архив обновлен? Или нужно сначала его поставить и потом обновить?
0 # 17 мая 2010 в 02:41 0
а че за косяк с mod_menu,пришлось с другой версии взять
wmaximum # 17 мая 2010 в 07:46 0
Модули → Доработан модуль "Меню", теперь его вывод полностью перенесен в шаблон. Сам шаблон можно указать в админке для каждой копии модуля;
Администратор # 17 мая 2010 в 08:52 0
с mod_menu все нормально
... # 17 мая 2010 в 03:09 0
Администратор:
# ББ-код → Добавлен тег "Вставить mp3";
Просто песня, +100000. Правда скачал макси версию, добавил регулятор громкости, отстроил под сайт, рулезз 8)))))
Спасибо!!!
... # 17 мая 2010 в 03:36 0
Как теперь сделать, чтобы автоматом следующая композиция стартовала, потом следующая и так сколько их есть на странице?
0 # 17 мая 2010 в 17:24 0
Обновился и что-то нигде не могу найти иконки RSS для УК, в админке в разделе "RSS-ленты сайта" нет, на сайте нигде нет.
0 # 17 мая 2010 в 17:30 0
Извиняюсь, на сайте появилась, вот в админке нет.
oll # 24 июля 2010 в 11:10 0
Таже проблема ни на главной ,ни на форуме ни на ук нет рсс.Дефолтный шаблон.И вообще В ленте материалла ***/rss/content/3/feed.rss
пустое окно без новостей.
Madmax # 24 июля 2010 в 13:28 +1
oll у всех есть - а у вас нет - странно...
Значит не все файлы обновили, или не заменили при обновлении файлы *.tpl шаблона...
Как правильно обновиться писал - ЗДЕСЬ
lezginka.ru # 18 мая 2010 в 11:16 0
уже на втором сайте происходит проблемы с меню(mod_menu.tpl), при обновлении до 1,6,2 (какая-то ошибка в этом файле)
Администратор # 18 мая 2010 в 11:24 +3
Никаких ошибок нет в нем, после распаковки патча нужно файл /templates/_default_/modules/mod_menu.tpl скопировать в /templates/ваш-шаблон/modules/, если такая существует. И всё.
wmaximum # 18 мая 2010 в 11:54 0
Нормально обновился, просто файл скопировал в папку своего шаба.
sepraga # 18 мая 2010 в 17:04 0
Спасибо за обновление. Все действительно очень хорошо, но проблема только  в горизонтальном выпадающем меню (дополнение Eazy). В подменю и в админке вывод пунктов меню стал происходить вертикально. Ни один из файлов этого модуля не менялся - здесь
Юрий (Pizza Celentano) # 18 мая 2010 в 18:41 +1
Так до сих пор и неработает в архиве статей в админке удаление выбранных статей из архива Fatal error: Call to undefined function cmsClearTags() in /www/ax3.net/a/l/alpizza/home/site/admin/includes/cp.php  on line 990, только по одной удалять можно, а ведь уже эта проблема была решена, но почему-то не внесены исправления в дистрибутив
casshern # 22 июня 2010 в 21:10 0
не работает редирект, где может быть причина? на форуме писал мне не ответили, все ссылки в пс теперь не действующие sad
djadrenaline # 1 июля 2010 в 10:15 0
после обновления с 1.5.3. на 1.6.2 слетел дизайн, сейчас отображается дизайн по умолчанию. В настройках админке стоит дизайн _default_ как установить дизайн моего сайта?
oll # 31 июля 2010 в 15:48 +1
Еще не мешает навести порядок (для той же безопастности) в архиве стабильной версии 1.6.2 .
Открыт просмотр директорий,отсутствие пустого index.html.А если кто использует переделанный эксклюзивно под себя дефолтный шаблон,то все могут его скачать ....прямо с сайта типа так  или  так

admin/components/meetings
admin/components/clubs
admin/components/catalog/js

components/users/images/messages
components/users/ajax
components/subscribes
components/registration/js
components/ratings
components/polls
components/photos/js
components/photos/ajax
components/meetings
components/forum/images/toolbar
components/forum/images/attach
components/forms
components/content/js
components/comments/letters
components/comments/js
components/clubs/images
components/clubs/images/_notes
components/clubs/ajax
components/catalog/js
components/catalog/includes
components/catalog/images
components/catalog/images/icons
components/catalog/images/shop

core/classes

includes/codegen/util
includes/jquery/treeview/images
includes/excel
includes/jquery/tabs
includes/jquery/tablesorter
includes/jquery/syntax
includes/jquery/syntax/src
includes/jquery/syntax/scripts
includes/jquery/syntax/styles
includes/rss/cache
includes/smarty
includes/smarty/libs
includes/smarty/libs/plugins
includes/smarty/libs/internals
includes/spyc
includes/spyc/examples
includes/spyc/php4
includes/spyc/tests
includes/stemmer

modules/mod_usersearch

plugins
plugins/p_demo
plugins/p_fckeditor  полностью
plugins/p_usertab

Доступность шаблона на скачку
templates/_default_/modules
templates/_default_/components
templates/_default_/plugins
templates/_default_/special
templates/_default_/special/images
templates/_default_/basic/js
templates/_default_/images/buttons
oll # 31 июля 2010 в 21:28 +3
А за что минус?
Покрайней мере 5000 скачек дистрибутива версии 1.6.2. И - ответьте на вопрос у кого закрыты мелкие недочеты по пустым индексам в директориях скрипта? Это должно быть уже изначально в архиве релиза.Я то у себя исправлю , а 4999 останутся в этом плане уязвимыми .
А это ? домен/plugins/p_fckeditor/fckeditor/editor/filemanager/connectors/uploadtest.html
Это не уязвимость.... ,это легальная дверь.да нет.. Ворота.
Разработчики примите к сведению пожалуйста.
Или я чегото не понимаю?
Fuze # 31 июля 2010 в 21:42 0
Уважаемая, панику не наводите)))
Я то у себя исправлю , а 4999 останутся в этом плане уязвимыми .
В чем уязвимость то???))) В кривых руках администратора сервера? Нормальный хостинг, а так же нормальный админ сервера, средствами аппача (любого другого веб сервера) закроет просмотр директорий. index.html это так защита от дурака...
А это ? домен/plugins/p_fckeditor/fckeditor/editor/filemanager/connectors/uploadtest.html
В таких случаях, тем более если вы считаете это серьезной уязвимостью, пишется администратору лично, а не выкладывается везде и трубится во все трубы. Теперь школота начнет конектится по вашему описанию на все известные сайты на интанте чтобы проверить. Скажите это кому надо???
oll # 31 июля 2010 в 23:25 +2
А мне лично найти в нете все инстанты (у которых админы начинающие вебмастера,или вообще далекие) и сообшить админам в личку что открыта свободная заливка файлов для всех желающих?
wmaximum # 9 августа 2010 в 19:22 +2
Когда ждать следующий релиз и что нового в нем ожидается?
... # 12 августа 2010 в 22:55 +2
Да, пора бы-бы.  hoho