Форум русской поддержки Joomla!® CMS
23.01.2017, 18:53:55 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Вышел релиз безопасности Joomla! 3.6.5

 (Прочитано 1782 раз)
0 Пользователей и 1 Гость смотрят эту тему.
b2z
Support Team
*****

Репутация: +717/-0
Offline Offline

Пол: Мужской
Сообщений: 7592


Разраблю понемногу


« : 14.12.2016, 12:13:38 »



Фиксы уязвимостей

Высокий приоритет ядра — повышение привилегий (версии Joomla! 1.6.0-3.6.4)
Низкий приоритет ядра — проблема безопасности загрузки (версии Joomla! 3.0.0-3.6.4)
Низкий приоритет ядра — раскрытие информации (версии Joomla! 3.0.0-3.6.4)
Записан
 
Septdir
Живу я здесь
******

Репутация: +40/-3
Offline Offline

Пол: Мужской
Сообщений: 1065


Skype: septdir


« Ответ #1 : 14.12.2016, 12:16:45 »

Кстати вопрос такой. в последнее время стал весьма актуален. Кто как отслеживает выход обновления?
Записан
b2z
Support Team
*****

Репутация: +717/-0
Offline Offline

Пол: Мужской
Сообщений: 7592


Разраблю понемногу


« Ответ #2 : 14.12.2016, 12:19:16 »

Кстати вопрос такой. в последнее время стал весьма актуален. Кто как отслеживает выход обновления?
В 3.6 есть же плагин, который шлёт email, если есть обновление.
Записан
Septdir
Живу я здесь
******

Репутация: +40/-3
Offline Offline

Пол: Мужской
Сообщений: 1065


Skype: septdir


« Ответ #3 : 14.12.2016, 12:27:36 »

В 3.6 есть же плагин, который шлёт email, если есть обновление.
А еще?
Поясню почему.
В этот раз мне ничего не пришло. Хотя я спецом подключил только к 1 сайту ибо однажды уже под утанул в письмах.  Так что system/updatenotification меня не радует

Записан
ProtectYourSite
Давно я тут
****

Репутация: +19/-2
Offline Offline

Сообщений: 245



« Ответ #4 : 14.12.2016, 12:30:34 »

Там интервал проверки вроде большой, может и через неделю прислать.
Для 2.5 патчей еще нету?
« Последнее редактирование: 14.12.2016, 12:33:51 от ProtectYourSite » Записан
wishlight
Профи
********

Репутация: +204/-1
Offline Offline

Пол: Мужской
Сообщений: 3559


skype aqaus.com


« Ответ #5 : 14.12.2016, 12:36:39 »

Да, кто разбирается хорошо и напишет патч, будет героем )
Записан
effrit
Группа развития
*****

Репутация: +779/-7
Online Online

Пол: Мужской
Сообщений: 7238


effrit.com


« Ответ #6 : 14.12.2016, 14:31:00 »

а кто баннером форумным заведует (на главной странице который)?
там до сих пор висит красная угроза в виде 3.6.4 Azn
Записан
maxpa
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 65


« Ответ #7 : 14.12.2016, 19:44:55 »

Обновил с десяток сайтов - полет нормальный - обновилось без проблем.
Записан
b2z
Support Team
*****

Репутация: +717/-0
Offline Offline

Пол: Мужской
Сообщений: 7592


Разраблю понемногу


« Ответ #8 : 15.12.2016, 00:33:21 »

Вроде как сделали патч для 2.5.28. Я лично не проверял, так как не знаю, как воспроизвести уязвимость  Roll Eyes
http://dev.virtuemart.net/attachments/download/1036/Joomla2.5.28-20161214PATCH.zip
« Последнее редактирование: 15.12.2016, 00:37:14 от b2z » Записан
Sulpher
Практически профи
*******

Репутация: +387/-15
Offline Offline

Пол: Мужской
Сообщений: 2228


Шаблоны и расширения Joomla


« Ответ #9 : 15.12.2016, 10:27:00 »

Дим, спасибо за полезную ссылку на патч для J2.5.28. Думаю, нужно в комментариях к анонсам упомянуть данный неофициальный патч. (у многих есть хотя бы один сайт на J2.5)
Записан
b2z
Support Team
*****

Репутация: +717/-0
Offline Offline

Пол: Мужской
Сообщений: 7592


Разраблю понемногу


« Ответ #10 : 15.12.2016, 11:14:55 »

Дим, спасибо за полезную ссылку на патч для J2.5.28. Думаю, нужно в комментариях к анонсам упомянуть данный неофициальный патч. (у многих есть хотя бы один сайт на J2.5)
Так и сделал.
Записан
dmitry_stas
Профи
********

Репутация: +826/-4
Online Online

Сообщений: 8210



« Ответ #11 : 15.12.2016, 12:31:30 »

Я лично не проверял, так как не знаю, как воспроизвести уязвимость
нужен доступ в админку с правами администратора. можно повысить до суперадминистратора. конечно хорошо, что выпустили патч, но на самом деле это далеко не тоже самое, что было в прошлом декабре.
Записан
zikkuratvk
Профи
********

Репутация: +259/-2
Offline Offline

Пол: Мужской
Сообщений: 3982


Разрабатываем для Joomla


« Ответ #12 : 15.12.2016, 13:40:30 »

нужен доступ в админку с правами администратора. можно повысить до суперадминистратора. конечно хорошо, что выпустили патч, но на самом деле это далеко не тоже самое, что было в прошлом декабре.
Суть в том что для сайтов на Joomla 3, которые уже сломали и сделали записи администраторов теперь легко можно сделать и супер-администраторов... Но в целом это все равно попадает под класс уязвимостей с высоким приоритетом.
Записан
dmitry_stas
Профи
********

Репутация: +826/-4
Online Online

Сообщений: 8210



« Ответ #13 : 15.12.2016, 14:05:52 »

ну да, конечно. это как не крути уязвимость, и закрыть дыру надо. но я имел в виду исключительно в разрезе J2.5, там то проблемы с созданием админов не было. поэтому скажем так для 99% сайтов на Ж2.5 где один администратор и никакого разделения прав в админке - это все пока не очень актуально. вплоть до того, пока не найдут возможность создать админа Azn
Записан
wishlight
Профи
********

Репутация: +204/-1
Offline Offline

Пол: Мужской
Сообщений: 3559


skype aqaus.com


« Ответ #14 : 15.12.2016, 14:11:51 »

Уязвимость которая сперва делает админов, а потом еще одна которая делает из них суперадминов. Совпадение?
Записан
shurakana
Живу я здесь
******

Репутация: +48/-6
Offline Offline

Сообщений: 868



« Ответ #15 : 15.12.2016, 14:33:00 »

Уязвимость которая сперва делает админов, а потом еще одна которая делает из них суперадминов. Совпадение?

Конечно совпадение.. А вообще, жить же как то надо..)
Записан
ChaosHead
Профи
********

Репутация: +383/-10
Offline Offline

Пол: Мужской
Сообщений: 4425



« Ответ #16 : 15.12.2016, 14:43:51 »

Походу на сайтах-визитках, где не нужны пользователи, нужно id админа менять с 42 на 1, а тип поля id ставить TINYINT(1), чтобы в принципе в базе нельзя было нового пользователя создать, потому, что он тупо не сохранится.
« Последнее редактирование: 15.12.2016, 14:47:50 от ChaosHead » Записан
dmitry_stas
Профи
********

Репутация: +826/-4
Online Online

Сообщений: 8210



« Ответ #17 : 15.12.2016, 14:50:18 »

сохранится Azn то ж не та единичка
Записан
ChaosHead
Профи
********

Репутация: +383/-10
Offline Offline

Пол: Мужской
Сообщений: 4425



« Ответ #18 : 15.12.2016, 14:57:21 »

Какая не та?
Цитировать
Тип BOOLEAN является синонимом для TINYINT(1). Значение 1 рассматривается как истина (true), а 0 как ложь (false).
id там первичный ключ в _users
Записан
dmitry_stas
Профи
********

Репутация: +826/-4
Online Online

Сообщений: 8210



« Ответ #19 : 15.12.2016, 15:05:47 »

попробуйте создать тестовую табличку с primary TINYINT(1). вставите далеко не одно значение
Записан
Elimelech
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 118


« Ответ #20 : 16.12.2016, 02:26:11 »

Вроде как сделали патч для 2.5.28. Я лично не проверял, так как не знаю, как воспроизвести уязвимость  Roll Eyes
http://dev.virtuemart.net/attachments/download/1036/Joomla2.5.28-20161214PATCH.zip

насколько можно доверять этому патчу?
Записан
b2z
Support Team
*****

Репутация: +717/-0
Offline Offline

Пол: Мужской
Сообщений: 7592


Разраблю понемногу


« Ответ #21 : 16.12.2016, 10:48:39 »

насколько можно доверять этому патчу?
Ну хуже от него по идее не должно быть - он от разработчика VirtueMart.
http://dev.virtuemart.net/projects/virtuemart/activity
Цитировать
12/14/2016
11:43 am Joomla2.5.28-20161214PATCH.zip
Patch for Joomla 2.5.28 with fixes for https://www.joomla.org/announcements/release-news/5693-joomla-3-6-5-released.html Max Milbers
Записан
Igr
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 41


« Ответ #22 : 16.12.2016, 20:26:45 »

Может, кто подскажет? А то уже голова дымится  !
Вчера во время обновления на 3.6.5 произошел "забавный сбой" - статьи при клике на "подробнее" дают чистую страницу (ни превью ни чего). Превью выводится нормально. Уже поверху заливал 3.6.5 без инсталятора - воз и ныне там Sad((
Записан
Septdir
Живу я здесь
******

Репутация: +40/-3
Offline Offline

Пол: Мужской
Сообщений: 1065


Skype: septdir


« Ответ #23 : 16.12.2016, 20:28:41 »

Может, кто подскажет? А то уже голова дымится  !
Вчера во время обновления на 3.6.5 произошел "забавный сбой" - статьи при клике на "подробнее" дают чистую страницу (ни превью ни чего). Превью выводится нормально. Уже поверху заливал 3.6.5 без инсталятора - воз и ныне там Sad((
Что по ошибкам, что в базе, кеш почистили?
Записан
Igr
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 41


« Ответ #24 : 16.12.2016, 20:43:35 »

Кэш почищен, база в актуальном состоянии, варнингов и нотисов вроде нет...
Записан
Igr
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 41


« Ответ #25 : 16.12.2016, 20:48:22 »

Могу ссылку на страницу кинуть - может какие мысли напросятся... А то уже склоняюсь к ному, чтобы все снести накатать заново. Благо пока проект еще молодой, можно сказать юный Azn
http://anti-stress.su/index.php/blog
Записан
effrit
Группа развития
*****

Репутация: +779/-7
Online Online

Пол: Мужской
Сообщений: 7238


effrit.com


« Ответ #26 : 16.12.2016, 20:56:45 »

имхо, грабли или на уровне шаблона, или на уровне плагина.
попробуйте сменить шаблон на дефолтный протостар, для начала, чтобы сам шаблон исключить
Записан
Igr
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 41


« Ответ #27 : 16.12.2016, 21:15:29 »

Шаблонами уже игрался, бестолку. По поводу плагина: "подробнее" со стороны статей работает - переход по ссылке есть. Только как-то криво открывает. Если "подробнее" не использовать - статья открывается полностью, но без превью, что неудобно. А где еще со стороны плагинов порыть?
Записан
effrit
Группа развития
*****

Репутация: +779/-7
Online Online

Пол: Мужской
Сообщений: 7238


effrit.com


« Ответ #28 : 16.12.2016, 21:29:58 »

шаб неправильный подсказал, на beez попробуйте, у него вывод статьи перекрывается собственным.

по плагинам. возможно, что какой-то из них съедает текст в режиме полного показа.
но пока проверьте шаб
Записан
Igr
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 41


« Ответ #29 : 16.12.2016, 21:44:41 »

Уже, бестолку Sad
Записан
Страниц: [1] 2 3  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet