Найти на сайте

Обновление безопасности для ICMS 1.8

+47
1.55K
  2. Блоги
  3. Обновление безопасности для ICMS 1.8
Благодаря бдительным пользователям мы обратили внимание на потенциальную xss уязвимость.
Эксплуатация ее достаточно сложна и нетривиальна, но мы все же решили перестраховаться и выпустить патч.
Это не критическая уязвимость, страшного ничего нет.

Качаем патч отсюда.

Внимание!
Были изменены в том числе множество файлов шаблона (ИЗМЕНЕНИЯ СМОТРЕТЬ ТУТ), при обновлении будьте внимательны, не забываем делать бекапы.

Данный патч так же решает проблему при удалении профиля.
Обновление ленты активности
Безопасность вашего сайта
+1
mihalich mihalich 13 лет назад #
Спасибо! +
0
abasia abasia 13 лет назад #
Спасибо
+1
Владимир Владимир 13 лет назад #
А данный патч вносится в свежий релиз? Иными словами, если я сегодня скачаю версию 1.8, то этот патч уже будет в этой версии или нужно пропатчить отдельно?
0
Fuze Fuze 13 лет назад #
А данный патч вносится в свежий релиз?
изменения в основной дистрибутив внесем чуть позже
0
Blit Blit 13 лет назад #
А какие изменения произошли в файлах шаблона?
-1
Fuze Fuze 13 лет назад #
прочитайте внимательно пост, пощелкайте по ссылкам.
0
Edik_Salonikski Edik_Salonikski 13 лет назад #
СПАСИБО
0
nikitka nikitka 13 лет назад #
Спасибо за оперативность!
0
Alexneva Alexneva 13 лет назад #
Спасибо! Очень важная работа!
0
oll oll 13 лет назад #
Долгожданные htmlspecialchars и escape.Спасибо,жить становится все легче и прятнее.
0
Александр Александр 13 лет назад #
большое вам спасибо)))) Вы Лучшие!
0
Олег Васильевич я Олег Васильевич я 13 лет назад #
Здравствуйте!
Вопрос попробую объяснить на примере:
Ваши изменения в файле templates/_default_/components/com_content_view.tpl (1 отличие). Было:
Код PHP:
{if $article.image} 
  <div class="con_image"> 
     <img src="/images/photos/small/{$article.image}" border="0" alt="{$article.title}"/> 
  </div> 
{/if}
Изменено на:
Код PHP:
{if $article.image} 
  <div class="con_image"> 
     <img src="/images/photos/small/{$article.image}" border="0" alt="{$article.title|escape:'html'}"/> 
  </div> 
{/if}
т. е. Изменения коснулись одной строчки.
Достаточно ли её просто заменить в указанном файле, если всё остальное из Вашего патча установлено?
Спасибо!
Отдельное спасибо за подробное описание изменений.
Удачи!
0
EXID EXID 13 лет назад #
Здравствуйте!
Хотелось бы уточнить про один файлик "/components/users/frontend.php" который лежит в архиве и которого нет в списке здесь.
Просто в этом файле у меня менялось несколько раз что то, уже не помню что, как то не хочется весь файл строчка за строчкой проверять.
Где посмотреть изменения вносившиеся в него, если таковые имеются?
Спасибо!
0
artlab artlab 13 лет назад #
используйте WinMerge или Beyond Compare
0
artlab artlab 13 лет назад #
сравните свой файл и из оригинального дистрибутива,а после с патчем.Ну я бы сделал так..))
-3
Segvec Segvec 13 лет назад #
ВЫ СУДА ХОТЬ НЕМНОГО ЗАГЛЯДЫВАЙТЕ ТО https://forum.antichat.ru/thread189469.html
+1
Марат Марат 13 лет назад #
Прежде чем так громко кричать, посмотрели бы, что последнее сообщение в приведенной Вами теме почти годичной давности и для версии 1.6.2 . А во дворе уже версия 1.8. Тема не раз поднималась. И думаю, разработчики уже давно закрыли выявленные там уязвимости.
+2
Fuze Fuze 13 лет назад #
с умничали?
уважаемый автор 90% постов приведенных там, перед тем как постить там, уведомлял нас и после того, как мы выпускали патч - публиковал. если ситуацией не владеете - не пишите.
0
artlab artlab 13 лет назад #
Перестали грузиться файлы в профиле.Это может быть как-то связано с данным патчем?
+1
artlab artlab 13 лет назад #
Собственно,сам и отвечаю.
/components/users/frontend.php
Код PHP:
 $list_files = array();

            foreach($_FILES['upfile'] as $key=>$value) {
                foreach($value as $k=>$v) { $list_files['upfile'.$k][$key] = $v; }
            }

            foreach ($list_files as $key=>$data_array) {
После вставки этого кода из патча перестают грузиться файлы.
0
anapahram anapahram 13 лет назад #
Относительно загрузки файлов в архив профиля, у меня тоже не работает, пишет "Ни один файл не был загружен. Может файлы слишком большие?" - и это с любыми файлами так. Был бы признателен за скорый ответ.
0
abasia abasia 13 лет назад #
Та же бедаsad
0
abasia abasia 13 лет назад #
Сравнил с помощью WinMerge файл components/users/frontend.php из патча и на сайте, добавил строки из файла патча и загрузка у пользователей заработала.

Еще от автора

InstantCMS 2.17.0 релиз-кандидат

InstantCMS 2.17.0 релиз-кандидат

Тестируем релиз-кандидат InstantCMS 2.17.0. От того, как мы с вами выявим баги в новой версии, зависит стабильность релиза.
Как собрать обновление и релиз InstantCMS

Как собрать обновление и релиз InstantCMS

Небольшой экскурс в сборку дистрибутива установки и обновления InstantCMS с GitHub.
3
InstantCMS 2.14.0 release candidate

InstantCMS 2.14.0 release candidate

Здравствуйте Тестируем релиз-кандидат InstantCMS 2.14.0. От того, как мы с вами выявим баги в новой версии, зависит стабильность релиза.

InstantCMS Team

Связь с нами
Email dev@instantcms.ru

Делаем полезные Интернет проекты с 2008 года 💫

О проекте

Поддержка

Дополнения

Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.