Обновление безопасности - InstantCMS 1.6.2

13.18K

Обновление в первую очередь спровоцировано сообщением от одного благородного человека с античата, который обнаружил несколько уязвимостей.

Повода для паники нет, т.к. чтобы воспользоваться найденными уязвимостями нужно обладать серьезными познаниями в SQL и не только. Но обновиться все равно необходимо.

Так же патч несет в себе несколько улучшений и новых функций.

Список изменений

  • Ядро → Закрыто несколько уязвимостей;
  • Ядро → Убрано дублирование страниц со слэшем на конце и без него, через редирект 301;
  • Поиск → Убрано слово «content» из ссылок на найденные статьи;
  • Модули → Доработан модуль «Меню», теперь его вывод полностью перенесен в шаблон. Сам шаблон можно указать в админке для каждой копии модуля;
  • Клубы → Исправлена возможность повторного создания клуба пользователем, при заходе по прямой ссылке;
  • Универсальный каталог → Добавлен экспорт RSS;
  • Форум → Добавлен экспорт RSS;
  • ББ-код → Добавлен тег «Зачеркнутый текст»;
  • ББ-код → Добавлен тег «Спойлер»;
  • ББ-код → Добавлен тег «Вставить mp3»;

Как обновиться

Для версии 1.6.1: скачать архив и просто распаковать на сайте, без миграции

Для версии 1.5.3: обновление описано здесь

Поддержите проект

Вы можете стать официальным спонсором или оказать другую поддержку. Вы также здорово поможете, если поставите звезду на GitHub.

+4
[ECHO]ALiDozer [ECHO]ALiDozer 13 лет назад #
Спойлеры! Я молча мечтал об этой возможности =).
Спасибо.
0
13 лет назад #
присоединяюся)) спойлеры наканец таки они)
0
almond almond 13 лет назад #
Отличное обновление, спасибо!
Только, думаю, неподготовленным пользователям было бы удобнее добавить прямо при нажатии кнопки «Вставить mp3» возможность загрузки файла на сервер со своего компьютера, так, как это сделано с кнопкой «Загрузить и вставить фото».
+2
InstantCMS InstantCMS 13 лет назад #
для этого нужно делать изменения в базе, и миграцию как следствие
поэтому пока так, с загрузкой будет позже
+1
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
Будем ждать, интересная возможность. Только сделать бы выбор- загрузить или вставить ссылку.
0
13 лет назад #
Обновился, и у меня не открывается главная страница!!! Подскажите пожалуйста, что не так???
0
InstantCMS InstantCMS 13 лет назад #
точнее формулируйте проблему, что значит "не открывается"
0
Alex Alex 13 лет назад #
после патча некорректно отображается модуль "меню".
0
InstantCMS InstantCMS 13 лет назад #
mod_menu.tpl в своем шаблоне обновили?
0
Alex Alex 13 лет назад #
Да, теперь все ОК.
0
13 лет назад #
"Не открывается" - вылазит страница с 404 ошибкой
0
InstantCMS InstantCMS 13 лет назад #
если на главной 404 - проблема явно не в движке, смотрите настройки сервера
0
13 лет назад #
Так это после установки патча произошло, самое главное другие страницы открываются! Просто даже предположить не могу что же произошло. Подскажите пожалуйста где копать?
0
13 лет назад #
Так ни кто не подскажет? cry
+1
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
А случаем не устанавливали какие нить хаки, у меня к примеру после обновления не открылись блоги, прописал все изменения и все пошло.
0
13 лет назад #
Устанавливал, и не один! Ладно, буду разбираться с хаками. У меня еще шаблон не пошел от 1.53, а тут вообще без главной страницы теперь.
0
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
Переключиться на дефолтный шаблон и посмотреть.
0
InstantCMS InstantCMS 13 лет назад #
скачайте заново архив, должно помочь
0
13 лет назад #
Нашел проблему! Gray был прав! Раньше устанавливал хак каталога статей, все из-за него! Спасибо за подсказку!
0
13 лет назад #
в спойлере проблема
Если внутри спойлера вставить тег [video] с кодом rutube то открывая спойлер, отображаеться [ video] код плеера [ /video] вместе смаого плеера
убираю спойлер, отображаеться нормально (
0
InstantCMS InstantCMS 13 лет назад #
скачайте заново архив, поправил вставку видео в спойлер
0
wmaximum wmaximum 13 лет назад #
Спасибо, обновился, все вроди работает.
0
wmaximum wmaximum 13 лет назад #
Заметил один косяк, при заходе на RSS блога, не отображается содержимое постов, только заголовки.
0
InstantCMS InstantCMS 13 лет назад #
и вовсе это не косяк
0
forlord forlord 13 лет назад #
там просто все сделать, чтоб был и сам текст
-1
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
Чет блоги престали открываться, белый экран 8...
-3
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
Все норм, это мой косяк?
Кто минусанул предыдущий пост, аргументируйте пожалуйста.
0
13 лет назад #
Основной архив обновлен? Или нужно сначала его поставить и потом обновить?
0
13 лет назад #
а че за косяк с mod_menu,пришлось с другой версии взять
0
wmaximum wmaximum 13 лет назад #
Модули → Доработан модуль "Меню", теперь его вывод полностью перенесен в шаблон. Сам шаблон можно указать в админке для каждой копии модуля;
0
InstantCMS InstantCMS 13 лет назад #
с mod_menu все нормально
0
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
Администратор:
# ББ-код → Добавлен тег "Вставить mp3";
Просто песня, +100000. Правда скачал макси версию, добавил регулятор громкости, отстроил под сайт, рулезз 8)))))
Спасибо!!!
0
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
Как теперь сделать, чтобы автоматом следующая композиция стартовала, потом следующая и так сколько их есть на странице?
0
13 лет назад #
Обновился и что-то нигде не могу найти иконки RSS для УК, в админке в разделе "RSS-ленты сайта" нет, на сайте нигде нет.
0
13 лет назад #
Извиняюсь, на сайте появилась, вот в админке нет.
0
oll oll 13 лет назад #
Таже проблема ни на главной ,ни на форуме ни на ук нет рсс.Дефолтный шаблон.И вообще В ленте материалла ***/rss/content/3/feed.rss
пустое окно без новостей.
+1
Madmax Madmax 13 лет назад #
oll у всех есть - а у вас нет - странно...
Значит не все файлы обновили, или не заменили при обновлении файлы *.tpl шаблона...
Как правильно обновиться писал - ЗДЕСЬ
0
lezginka.ru lezginka.ru 13 лет назад #
уже на втором сайте происходит проблемы с меню(mod_menu.tpl), при обновлении до 1,6,2 (какая-то ошибка в этом файле)
+3
InstantCMS InstantCMS 13 лет назад #
Никаких ошибок нет в нем, после распаковки патча нужно файл /templates/_default_/modules/mod_menu.tpl скопировать в /templates/ваш-шаблон/modules/, если такая существует. И всё.
0
wmaximum wmaximum 13 лет назад #
Нормально обновился, просто файл скопировал в папку своего шаба.
0
sepraga sepraga 13 лет назад #
Спасибо за обновление. Все действительно очень хорошо, но проблема только в горизонтальном выпадающем меню (дополнение Eazy). В подменю и в админке вывод пунктов меню стал происходить вертикально. Ни один из файлов этого модуля не менялся - здесь
+1
Юрий (Pizza Celentano) Юрий (Pizza Celentano) 13 лет назад #
Так до сих пор и неработает в архиве статей в админке удаление выбранных статей из архива Fatal error: Call to undefined function cmsClearTags() in /www/ax3.net/a/l/alpizza/home/site/admin/includes/cp.php on line 990, только по одной удалять можно, а ведь уже эта проблема была решена, но почему-то не внесены исправления в дистрибутив
0
casshern casshern 13 лет назад #
не работает редирект, где может быть причина? на форуме писал мне не ответили, все ссылки в пс теперь не действующие sad
0
djadrenaline djadrenaline 13 лет назад #
после обновления с 1.5.3. на 1.6.2 слетел дизайн, сейчас отображается дизайн по умолчанию. В настройках админке стоит дизайн _default_ как установить дизайн моего сайта?
+1
oll oll 13 лет назад #
Еще не мешает навести порядок (для той же безопастности) в архиве стабильной версии 1.6.2 .
Открыт просмотр директорий,отсутствие пустого index.html.А если кто использует переделанный эксклюзивно под себя дефолтный шаблон,то все могут его скачать ....прямо с сайта типа так или так

admin/components/meetings
admin/components/clubs
admin/components/catalog/js

components/users/images/messages
components/users/ajax
components/subscribes
components/registration/js
components/ratings
components/polls
components/photos/js
components/photos/ajax
components/meetings
components/forum/images/toolbar
components/forum/images/attach
components/forms
components/content/js
components/comments/letters
components/comments/js
components/clubs/images
components/clubs/images/_notes
components/clubs/ajax
components/catalog/js
components/catalog/includes
components/catalog/images
components/catalog/images/icons
components/catalog/images/shop

core/classes

includes/codegen/util
includes/jquery/treeview/images
includes/excel
includes/jquery/tabs
includes/jquery/tablesorter
includes/jquery/syntax
includes/jquery/syntax/src
includes/jquery/syntax/scripts
includes/jquery/syntax/styles
includes/rss/cache
includes/smarty
includes/smarty/libs
includes/smarty/libs/plugins
includes/smarty/libs/internals
includes/spyc
includes/spyc/examples
includes/spyc/php4
includes/spyc/tests
includes/stemmer

modules/mod_usersearch

plugins
plugins/p_demo
plugins/p_fckeditor полностью
plugins/p_usertab

Доступность шаблона на скачку
templates/_default_/modules
templates/_default_/components
templates/_default_/plugins
templates/_default_/special
templates/_default_/special/images
templates/_default_/basic/js
templates/_default_/images/buttons
+3
oll oll 13 лет назад #
А за что минус?
Покрайней мере 5000 скачек дистрибутива версии 1.6.2. И - ответьте на вопрос у кого закрыты мелкие недочеты по пустым индексам в директориях скрипта? Это должно быть уже изначально в архиве релиза.Я то у себя исправлю , а 4999 останутся в этом плане уязвимыми .
А это ? домен/plugins/p_fckeditor/fckeditor/editor/filemanager/connectors/uploadtest.html
Это не уязвимость.... ,это легальная дверь.да нет.. Ворота.
Разработчики примите к сведению пожалуйста.
Или я чегото не понимаю?
0
Fuze Fuze 13 лет назад #
Уважаемая, панику не наводите)))
Я то у себя исправлю , а 4999 останутся в этом плане уязвимыми .
В чем уязвимость то???))) В кривых руках администратора сервера? Нормальный хостинг, а так же нормальный админ сервера, средствами аппача (любого другого веб сервера) закроет просмотр директорий. index.html это так защита от дурака...
А это ? домен/plugins/p_fckeditor/fckeditor/editor/filemanager/connectors/uploadtest.html
В таких случаях, тем более если вы считаете это серьезной уязвимостью, пишется администратору лично, а не выкладывается везде и трубится во все трубы. Теперь школота начнет конектится по вашему описанию на все известные сайты на интанте чтобы проверить. Скажите это кому надо???
+2
oll oll 13 лет назад #
А мне лично найти в нете все инстанты (у которых админы начинающие вебмастера,или вообще далекие) и сообшить админам в личку что открыта свободная заливка файлов для всех желающих?
+2
wmaximum wmaximum 13 лет назад #
Когда ждать следующий релиз и что нового в нем ожидается?
+2
ГеймОверСистемХалтед ГеймОверСистемХалтед 13 лет назад #
Да, пора бы-бы. hoho
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.