В предверии Нового Года мы решили отложить все насущные дела и, ускорившись, выпустить долгожданное обновление безопасности и исправления ошибок, найденных после релиза InstantCMS 1.10.
Хочется отметить, что аудит безопасности прошел успешно и не зря. Уязвимости были найдены, в том числе одна серьезная, однако для ее эксплуатации нужны хорошие знания sql, поэтому большого повода для паники нет. В целом, по словам исполнителя тестирования, система достаточно хорошо защищена.
Мы поработали и закрыли все, что было найдено и выполнили все рекомендации по увеличению степени защищенности.
Что исправлено и дополнено:
- перебор паролей для авторизации исключен, добавлена каптча, которая появляется при второй попытке авторизации;
- исправлена фильтрация тегов при добавлении;
- исправлена фильтрация поисковых запросов в компоненте "поиск";
- сессия php теперь привязана к ip;
- вывод модулей оптимизирован, выполняется одни запрос к БД с выборкой модулей для данной страницы;
- SEOURL теперь не может состоять только из цифр;
- скомпилированные шаблоны формируются с префиксом, корректная смена шаблона "на лету";
- исправлены проблемы при импорте из excel.
Отдельно хочется подчеркнуть, что обновляться нужно, тем более, что проблем с обновлением быть не должно. База данных остается без изменений. Для простоты перехода на 1.10.1 мы подготовили патч.
Как обновиться?
Внимание: Обновляться можно только с версии 1.10. Если у вас более ранняя версия, то сначала нужнообновиться до 1.10.
Мы не несем никакой ответственности за любые потери данных произошедшие в результате неправильных действий при обновлении.
- Сделать полный бекап файлов и базы данных — ОБЯЗАТЕЛЬНО!
- Отключить сайт в админке;
- Распаковать патч на сервере, заменяя совпадения;
- Включить сайт в админке;
- Очистить кеш системы и браузера;
Благодарности
По традиции мы благодарим всех, кто сообщал об ошибках, помогал в выявлении их и в целом всячески способствовал стабильному развитию InstantCMS.
Спасибо Вам, друзья!
А так же, от лица InstantSoft и от себя лично поздравляю Вас с наступающим Новым Годом! Здоровья и творческих успехов в новом году!
Архивы для скачивания
Поддержите проект
Вы можете стать официальным спонсором или отправить донат, в том числе в криптовалюте. Вы также здорово поможете, если поставите звезду на GitHub, для нас это очень важно.
С наступающим Новым годом!!!
Всех с наступающим Новым годом.
Всех с натупающими праздниками!
Всех с новым годом!!!
внимание.
Вчера выяснилось, что включенный в состав системы сторонний класс jevix имеет один недочет, который мы поспешили исправить. Не критично, но исправить нужно.
Архивы поправлены. Тем, кто скачал патч или полный архив, замените у себя этот файл.
архивы опять обновлены)
архив обновлен)
у меня все заработало.
Но присутствует только"Ответить" и "Удалить".
В админка-компоненты-коментарии пользователей-доступ-Запрещать редактирование через:1минута.
Не помогает.
По традиции этого топика хочу поздравить всех с наступающим Новым Годом. Спасибо разработчикам этой CMS, вы смогли своим продуктом заинтересовать людей и собрать неплохое сообщество. Желаю всем нам в Новом году больше качественных обновлений, множество красивых шаблонов и невероятное количество новых дополнений! А как говорят китайцы - Не одно желание не дается человеку отдельно от СИЛЫ, способной его осуществить.
Второй - это патч, который надо залить на сервер, если у вас уже установлена версия 1.10
посмотреть что изменено можно при помощи winmerge например.
При нажатии на шестеренку настройки модуля пишет:
The requested content cannot be loaded.
Please try again later.
Close
При этом на дефолтном шаблоне все ок.
Что поменяли в 1.10.1? Куда копать?
У меня на одном сайте, после изменений файлов в шаблоне, изменился шрифт и стиль надписей названия модулей.
Вернул старые файлы в шаблоне и всё стало на свои места, однако настройка модуля показывают такую же картинку
как вверху.
После полного возврата файлов из 1.10 всё пришло в рабочее состояние.
Где копать?
Подскажи пжл. Fuze это мне боком нигде не вылезет?
Всё же работает.....
Идете по ссылке templates/ваш шаблон/modules/module.tpl
В этом файле если Вы предварительно пропатчили до версии 1.10.1 находите
DeeMon предложил ещё внести дополнительные изменения, но я этого не делал, т.к у меня и без них всё заработало.
Теперь и инсталяция и обновления производятся из install?
Спасибо!
Успешно обновил пару сайтов.
С наступающим!
при попытки запуска CRON на: drop_inactive_users Удаление неактивных пользователей (см. настройки компонента "Профили пользователей")
пишет: По каким то причинам задача не выполнена
и так же на: give_invites Выдача инвайтов пользователям
у кого такое есть? или у меня только?? ну проверяем смотрим! как решить? и на родном, и на другом шаблоне так((((
Это так задумано?
У меня раньше создавались, а теперь нет!!!!!!
Какие могут быть проблемы в работе? Пока вроде все норм (второй день еще)
В "универсальном каталоге" создаю запись - все нормально
Пытаюсь вставить картинку в поле "выводится как HTML" -сохраняю и вся запись слетает, все поля становятся пустыми
Это от обновления такое? до патча картинки не пробовал вставлять
это получается баг такой или что?
В админку давно уже писано, что можно зайти только после авторизации на фронтенде. Иначе 404. Типа защита)
Это все уже на работающем сайте, шаблон и дефолт и вес пробывал. Если отключить ионкуб то все нормально.
Хостер предложил применить пхп и ионкуб только к определенной папке а не на весь сайт, большой вопрос ко всем к какой папке применить ????????????
Хостинг основан на архитектуре cpanel
Ваш пользовательский каталог находится по адресу /home/cp874990
Файлы сайтов по умолчанию находятся в каталоге /home/cp874990/public_html
Директория tmp может быть назначена Вами самостоятельно в Вашем пользовательском каталоге, в соответствии с требованиями скрипта.
Блин не знаю что делать
<div style="background:url('что то там');"></div>
то при повторном редактировании с фронта картинка показывается, при переключении в html - поле редактирования пустеет. Если в поле есть еще какой-то дополнительный текст - остается на месте
при редактировании из админки - все норм.
пока не понял, дело в шаблоне или в движке, попробую на дефолтном
Шаг № 3
Все сообщения форума оптимизированы.
ОШИБКА БАЗЫ ДАННЫХ:
ALTER TABLE `cms_forum_posts` DROP INDEX `content`
Не могу сбросить 'content'; проверьте, что колонки/ключ существует,
Как решить данную проблему ?
http://trac.instantcms.ru/changeset/1246
Я попробывал-ошибка вылезла в редакторе, пришлось вернуться к первоначальному состоянию(
Есть два клуба. И в обоих есть фотоальбомы с фотками. Если удаляешь альбом в одном клубе, то удаляются все вотки из второго клуба. Фотки поотдельности удаляются нормально. Думал я накосячил.
Установил на хост движок с нуля. Ничего не трогал. Проблема осталась.
http://instantcms.ru/forum/thread14013.html#new
Всем спасибо!
Похоже, что раньше где то в коде делал ошибку!
Не забываем делать бекапы файлов и базы.
)Пользуйтесь на здоровье!
Исправлены баги и фичи.
Посмотрите это
http://trac.instantcms.ru/changeset/1246
и
это (чтобы работал плагин автоподписка)
http://trac.instantcms.ru/changeset/1266
этого в сборке ещё нет, но у себя сделал)
http://trac.instantcms.ru/changeset/1267
Спасибо!
В этом вся фишка!
нет бы свел бранч fuze и maxisoft, а так баловство, тем более достаточно войти в трак и нажать кнопку скачать архивом внизу страницы http://trac.instantcms.ru/browser/branches/fuze
но видать кому-то хочется изобразить деятельность
Чего тогда не поделился с сообществом, я бы не мучался и взял или предлагаешь после каждого обнаруженного бага в траке скачивать архив всего инстанта и делать замену в сайтах?
Как сделать, что бы сессия пользователя сохранялась при смене ip?
а так движок шустрый на нём поднят не один коммерческий сайт с бооольшой экономией)))
Подскажите в чем проблема