Обновление безопасности - InstantCMS 1.6.2

Обновление в первую очередь спровоцировано сообщением от одного благородного человека с античата, который обнаружил несколько уязвимостей.

Повода для паники нет, т.к. чтобы воспользоваться найденными уязвимостями нужно обладать серьезными познаниями в SQL и не только. Но обновиться все равно необходимо.

Так же патч несет в себе несколько улучшений и новых функций.

Список изменений

  • Ядро → Закрыто несколько уязвимостей;
  • Ядро → Убрано дублирование страниц со слэшем на конце и без него, через редирект 301;
  • Поиск → Убрано слово "content" из ссылок на найденные статьи;
  • Модули → Доработан модуль "Меню", теперь его вывод полностью перенесен в шаблон. Сам шаблон можно указать в админке для каждой копии модуля;
  • Клубы → Исправлена возможность повторного создания клуба пользователем, при заходе по прямой ссылке;
  • Универсальный каталог → Добавлен экспорт RSS;
  • Форум → Добавлен экспорт RSS;
  • ББ-код → Добавлен тег "Зачеркнутый текст";
  • ББ-код → Добавлен тег "Спойлер";
  • ББ-код → Добавлен тег "Вставить mp3";

Как обновиться

Для версии 1.6.1: скачать архив и просто распаковать на сайте, без миграции

Для версии 1.5.3: обновление описано здесь

Комментарии (50)
[ECHO]ALiDozer 16 мая 2010 в 09:46 +4
small user social cms
Спойлеры! Я молча мечтал об этой возможности =).
Спасибо.
0 16 мая 2010 в 13:55 0
no avatar
присоединяюся)) спойлеры наканец таки они)
almond 16 мая 2010 в 11:34 0
small user social cms
Отличное обновление, спасибо!
Только, думаю, неподготовленным пользователям было бы удобнее добавить прямо при нажатии кнопки «Вставить mp3» возможность загрузки файла на сервер со своего компьютера, так, как это сделано с кнопкой «Загрузить и вставить фото».
InstantCMS 16 мая 2010 в 12:57 +2
small user social cms
для этого нужно делать изменения в базе, и миграцию как следствие
поэтому пока так, с загрузкой будет позже
ГеймОверСистемХалтед 16 мая 2010 в 19:40 +1
no profile
Будем ждать, интересная возможность. Только сделать бы выбор- загрузить или вставить ссылку.
0 16 мая 2010 в 13:22 0
no avatar
Обновился, и у меня не открывается главная страница!!! Подскажите пожалуйста, что не так???
InstantCMS 16 мая 2010 в 13:50 0
small user social cms
точнее формулируйте проблему, что значит "не открывается"
Alex 16 мая 2010 в 13:39 0
small user social cms
после патча некорректно отображается модуль "меню".
InstantCMS 16 мая 2010 в 13:50 0
small user social cms
mod_menu.tpl в своем шаблоне обновили?
Alex 16 мая 2010 в 16:04 0
small user social cms
Да, теперь все ОК.
0 16 мая 2010 в 13:52 0
no avatar
"Не открывается" - вылазит страница с 404 ошибкой
InstantCMS 16 мая 2010 в 15:47 0
small user social cms
если на главной 404 - проблема явно не в движке, смотрите настройки сервера
0 16 мая 2010 в 16:04 0
no avatar
Так это после установки патча произошло, самое главное другие страницы открываются! Просто даже предположить не могу что же произошло. Подскажите пожалуйста где копать?
0 16 мая 2010 в 22:16 0
no avatar
Так ни кто не подскажет? cry
ГеймОверСистемХалтед 16 мая 2010 в 22:42 +1
no profile
А случаем не устанавливали какие нить хаки, у меня к примеру после обновления не открылись блоги, прописал все изменения и все пошло.
0 16 мая 2010 в 23:30 0
no avatar
Устанавливал, и не один! Ладно, буду разбираться с хаками. У меня еще шаблон не пошел от 1.53, а тут вообще без главной страницы теперь.
ГеймОверСистемХалтед 17 мая 2010 в 00:04 0
no profile
Переключиться на дефолтный шаблон и посмотреть.
InstantCMS 17 мая 2010 в 11:20 0
small user social cms
скачайте заново архив, должно помочь
0 17 мая 2010 в 13:36 0
no avatar
Нашел проблему! Gray был прав! Раньше устанавливал хак каталога статей, все из-за него! Спасибо за подсказку!
0 16 мая 2010 в 14:04 0
no avatar
в спойлере проблема
Если внутри спойлера вставить тег [video] с кодом rutube то открывая спойлер, отображаеться [ video] код плеера [ /video] вместе смаого плеера
убираю спойлер, отображаеться нормально (
InstantCMS 16 мая 2010 в 16:43 0
small user social cms
скачайте заново архив, поправил вставку видео в спойлер
wmaximum 16 мая 2010 в 14:19 0
small user social cms
Спасибо, обновился, все вроди работает.
wmaximum 16 мая 2010 в 14:38 0
small user social cms
Заметил один косяк, при заходе на RSS блога, не отображается содержимое постов, только заголовки.
InstantCMS 16 мая 2010 в 15:47 0
small user social cms
и вовсе это не косяк
forlord 16 мая 2010 в 16:59 0
small user social cms
там просто все сделать, чтоб был и сам текст
ГеймОверСистемХалтед 16 мая 2010 в 17:03 -1
no profile
Чет блоги престали открываться, белый экран 8...
ГеймОверСистемХалтед 16 мая 2010 в 17:14 -3
no profile
Все норм, это мой косяк?
Кто минусанул предыдущий пост, аргументируйте пожалуйста.
0 16 мая 2010 в 17:38 0
no avatar
Основной архив обновлен? Или нужно сначала его поставить и потом обновить?
0 17 мая 2010 в 02:41 0
no avatar
а че за косяк с mod_menu,пришлось с другой версии взять
wmaximum 17 мая 2010 в 07:46 0
small user social cms
Модули → Доработан модуль "Меню", теперь его вывод полностью перенесен в шаблон. Сам шаблон можно указать в админке для каждой копии модуля;
InstantCMS 17 мая 2010 в 08:52 0
small user social cms
с mod_menu все нормально
ГеймОверСистемХалтед 17 мая 2010 в 03:09 0
no profile
Администратор:
# ББ-код → Добавлен тег "Вставить mp3";
Просто песня, +100000. Правда скачал макси версию, добавил регулятор громкости, отстроил под сайт, рулезз 8)))))
Спасибо!!!
ГеймОверСистемХалтед 17 мая 2010 в 03:36 0
no profile
Как теперь сделать, чтобы автоматом следующая композиция стартовала, потом следующая и так сколько их есть на странице?
0 17 мая 2010 в 17:24 0
no avatar
Обновился и что-то нигде не могу найти иконки RSS для УК, в админке в разделе "RSS-ленты сайта" нет, на сайте нигде нет.
0 17 мая 2010 в 17:30 0
no avatar
Извиняюсь, на сайте появилась, вот в админке нет.
oll 24 июля 2010 в 11:10 0
small user social cms
Таже проблема ни на главной ,ни на форуме ни на ук нет рсс.Дефолтный шаблон.И вообще В ленте материалла ***/rss/content/3/feed.rss
пустое окно без новостей.
Madmax 24 июля 2010 в 13:28 +1
small user social cms
oll у всех есть - а у вас нет - странно...
Значит не все файлы обновили, или не заменили при обновлении файлы *.tpl шаблона...
Как правильно обновиться писал - ЗДЕСЬ
lezginka.ru 18 мая 2010 в 11:16 0
small user social cms
уже на втором сайте происходит проблемы с меню(mod_menu.tpl), при обновлении до 1,6,2 (какая-то ошибка в этом файле)
InstantCMS 18 мая 2010 в 11:24 +3
small user social cms
Никаких ошибок нет в нем, после распаковки патча нужно файл /templates/_default_/modules/mod_menu.tpl скопировать в /templates/ваш-шаблон/modules/, если такая существует. И всё.
wmaximum 18 мая 2010 в 11:54 0
small user social cms
Нормально обновился, просто файл скопировал в папку своего шаба.
sepraga 18 мая 2010 в 17:04 0
small user social cms
Спасибо за обновление. Все действительно очень хорошо, но проблема только  в горизонтальном выпадающем меню (дополнение Eazy). В подменю и в админке вывод пунктов меню стал происходить вертикально. Ни один из файлов этого модуля не менялся - здесь
Юрий (Pizza Celentano) 18 мая 2010 в 18:41 +1
small user social cms
Так до сих пор и неработает в архиве статей в админке удаление выбранных статей из архива Fatal error: Call to undefined function cmsClearTags() in /www/ax3.net/a/l/alpizza/home/site/admin/includes/cp.php  on line 990, только по одной удалять можно, а ведь уже эта проблема была решена, но почему-то не внесены исправления в дистрибутив
casshern 22 июня 2010 в 21:10 0
small user social cms
не работает редирект, где может быть причина? на форуме писал мне не ответили, все ссылки в пс теперь не действующие sad
djadrenaline 1 июля 2010 в 10:15 0
small user social cms
после обновления с 1.5.3. на 1.6.2 слетел дизайн, сейчас отображается дизайн по умолчанию. В настройках админке стоит дизайн _default_ как установить дизайн моего сайта?
oll 31 июля 2010 в 15:48 +1
small user social cms
Еще не мешает навести порядок (для той же безопастности) в архиве стабильной версии 1.6.2 .
Открыт просмотр директорий,отсутствие пустого index.html.А если кто использует переделанный эксклюзивно под себя дефолтный шаблон,то все могут его скачать ....прямо с сайта типа так  или  так

admin/components/meetings
admin/components/clubs
admin/components/catalog/js

components/users/images/messages
components/users/ajax
components/subscribes
components/registration/js
components/ratings
components/polls
components/photos/js
components/photos/ajax
components/meetings
components/forum/images/toolbar
components/forum/images/attach
components/forms
components/content/js
components/comments/letters
components/comments/js
components/clubs/images
components/clubs/images/_notes
components/clubs/ajax
components/catalog/js
components/catalog/includes
components/catalog/images
components/catalog/images/icons
components/catalog/images/shop

core/classes

includes/codegen/util
includes/jquery/treeview/images
includes/excel
includes/jquery/tabs
includes/jquery/tablesorter
includes/jquery/syntax
includes/jquery/syntax/src
includes/jquery/syntax/scripts
includes/jquery/syntax/styles
includes/rss/cache
includes/smarty
includes/smarty/libs
includes/smarty/libs/plugins
includes/smarty/libs/internals
includes/spyc
includes/spyc/examples
includes/spyc/php4
includes/spyc/tests
includes/stemmer

modules/mod_usersearch

plugins
plugins/p_demo
plugins/p_fckeditor  полностью
plugins/p_usertab

Доступность шаблона на скачку
templates/_default_/modules
templates/_default_/components
templates/_default_/plugins
templates/_default_/special
templates/_default_/special/images
templates/_default_/basic/js
templates/_default_/images/buttons
oll 31 июля 2010 в 21:28 +3
small user social cms
А за что минус?
Покрайней мере 5000 скачек дистрибутива версии 1.6.2. И - ответьте на вопрос у кого закрыты мелкие недочеты по пустым индексам в директориях скрипта? Это должно быть уже изначально в архиве релиза.Я то у себя исправлю , а 4999 останутся в этом плане уязвимыми .
А это ? домен/plugins/p_fckeditor/fckeditor/editor/filemanager/connectors/uploadtest.html
Это не уязвимость.... ,это легальная дверь.да нет.. Ворота.
Разработчики примите к сведению пожалуйста.
Или я чегото не понимаю?
Fuze 31 июля 2010 в 21:42 0
small user social cms
Уважаемая, панику не наводите)))
Я то у себя исправлю , а 4999 останутся в этом плане уязвимыми .
В чем уязвимость то???))) В кривых руках администратора сервера? Нормальный хостинг, а так же нормальный админ сервера, средствами аппача (любого другого веб сервера) закроет просмотр директорий. index.html это так защита от дурака...
А это ? домен/plugins/p_fckeditor/fckeditor/editor/filemanager/connectors/uploadtest.html
В таких случаях, тем более если вы считаете это серьезной уязвимостью, пишется администратору лично, а не выкладывается везде и трубится во все трубы. Теперь школота начнет конектится по вашему описанию на все известные сайты на интанте чтобы проверить. Скажите это кому надо???
oll 31 июля 2010 в 23:25 +2
small user social cms
А мне лично найти в нете все инстанты (у которых админы начинающие вебмастера,или вообще далекие) и сообшить админам в личку что открыта свободная заливка файлов для всех желающих?
wmaximum 9 августа 2010 в 19:22 +2
small user social cms
Когда ждать следующий релиз и что нового в нем ожидается?
ГеймОверСистемХалтед 12 августа 2010 в 22:55 +2
no profile
Да, пора бы-бы.  hoho