0 Пользователей и 1 Гость просматривают эту тему.
  • 44 Ответов
  • 4880 Просмотров
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Закрыты три уязвимости, в том числе две высокого уровня. Исправлено более 230 ошибок, а также улучшений.

Цитировать
Высокий приоритет - Ядро - раскрытие информации (относится к 1.7.3 - 3.7.2)
Высокий приоритет - Ядро - XSS (относится к 1.7.3 - 3.7.2)
Низкий приоритет - Ядро - XSS (относитсяк 1.5.0 - 3.6.5)

Официальная новость
Новость на русском
Новость на JoomlaPortal
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #1 : 04.07.2017, 19:23:07 »
У всех есть баг с бесконечной сессией? Выходишь их админки через выход, потом снова открываешь через пару секунд адрес админки и попадаешь в админку без логина?

Вообще какая-то муть с сессиями.

Грешил на кэш, но при полном отключении кэша то же самое.

Если поставить хранение сессий в "нет", то разлогинивается нормально. Проблема именно в сессиях.

Она именно как-то восстанавливается. Заходить надо подождав секунд 5.

За указанные 30 минут сессия не кончилась и я смог попасть в админку обновляемого сайта. Но только с того же пк, на котором работал.
« Последнее редактирование: 04.07.2017, 19:43:09 от wishlight »
*

arma

  • Завсегдатай
  • 1753
  • 81 / 3
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #2 : 04.07.2017, 19:43:30 »
Глянул у себя и на двух разных серверах такого не наблюдаю.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #3 : 04.07.2017, 19:44:09 »
Странно. У меня везде так. Во всех браузерах. А на одном нет... Похоже расширение что ли какое?
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #4 : 04.07.2017, 19:49:42 »
А не. И на нем тоже. Только ждать надо секунд десять перед обновлением адреса админки. На последней оставшейся 3.6.5 нет такого... Точно нет? Даже если клацнуть f5 пару раз?

Не сразу обновляйте.. Ждите подольше. Вот один через 20 секунд опять вошел.
« Последнее редактирование: 04.07.2017, 20:01:19 от wishlight »
*

Chigolberi

  • Захожу иногда
  • 464
  • 12 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #5 : 04.07.2017, 20:02:38 »
У меня один рас такое проскочило, проверил сразу после обновления, повторить такой фокус больше не получается. Поймал нажав F5 (в браузере Мозила)
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #6 : 04.07.2017, 20:04:38 »
У вас Mozilla хранит историю? Попробуйте в браузере с хранением истории и не закрывайте его. Выйти, подождать 20 сек, нажать f5 несколько раз. Войдет или нет?
« Последнее редактирование: 04.07.2017, 20:08:26 от wishlight »
*

Chigolberi

  • Захожу иногда
  • 464
  • 12 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #7 : 04.07.2017, 20:10:05 »
Mozilla Firefox, историю сохраняет, попробовал через 20сек. после выхода, не получается повторить этот фокус.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #8 : 04.07.2017, 20:12:19 »
Подтверждаю.

Админка открыта. В таблице сессий одна неактивная сессия суперюзера.

Код: sql
INSERT INTO `jw578_session` (`session_id`, `client_id`, `guest`, `time`, `data`, `userid`, `username`) VALUES
('jbmcucaocpj03neervsav2emb6', 1, 1, '1499188114', '__koowa|a:3:{s:10:"__metadata";a:2:{s:5:"timer";a:3:{s:5:"start";i:1499187673;s:4:"last";i:1499188048;s:3:"now";i:1499188106;}s:5:"token";s:40:"3d2de066fa9e2ccca1f4c1aa5737cd5d22f85b07";}s:11:"__attribute";a:1:{s:4:"user";a:12:{s:2:"id";s:3:"354";s:5:"email";s:21:"omroncenter@yandex.ru";s:4:"name";s:10:"Super User";s:8:"username";s:5:"adm1n";s:8:"password";s:60:"sqlyINSERT INTO `jw578_session` (`session_id`, `client_id`, `guest`, `time`, `data`, `userid`, `username`) VALUES
('jbmcucaocpj03neervsav2emb6', 1, 1, '1499188114', '__koowa|a:3:{s:10:"__metadata";a:2:{s:5:"timer";a:3:{s:5:"start";i:1499187673;s:4:"last";i:1499188048;s:3:"now";i:1499188106;}s:5:"token";s:40:"3d2de066fa9e2ccca1f4c1aa5737cd5d22f85b07";}s:11:"__attribute";a:1:{s:4:"user";a:12:{s:2:"id";s:3:"354";s:5:"email";s:21:"omroncenter@yandex.ru";s:4:"name";s:10:"Super User";s:8:"username";s:5:"adm1n";s:8:"password";s:60:"$2y$10$wTjJMRyQD1WC73GQiv8.HO4WCuHUZ1gAlxeLzDYSU9KJfF1nNiTyW";s:4:"salt";s:0:"";s:9:"authentic";b:1;s:7:"enabled";b:1;s:7:"expired";b:1;s:10:"attributes";a:0:{}s:5:"roles";a:0:{}s:6:"groups";a:0:{}}}s:9:"__message";a:0:{}}joomla|s:1120:"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";', 0, '');0$wTjJMRyQD1WC73GQiv8.HO4WCuHUZ1gAlxeLzDYSU9KJfF1nNiTyW";s:4:"salt";s:0:"";s:9:"authentic";b:1;s:7:"enabled";b:1;s:7:"expired";b:1;s:10:"attributes";a:0:{}s:5:"roles";a:0:{}s:6:"groups";a:0:{}}}s:9:"__message";a:0:{}}joomla|s:1120:"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";', 0, '');

« Последнее редактирование: 04.07.2017, 20:29:11 от capricorn »
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #9 : 04.07.2017, 20:12:41 »
Чтож у меня так хорошо получается... Ладно будем тестировать.
*

Septdir

  • Живу я здесь
  • 3370
  • 168 / 4
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #10 : 04.07.2017, 20:26:19 »
Есть с сессиями косяк, причем с тех пор как сделали совсемсные (адмика + фронт), но вылезает через раз.
А так полет нормальный кроме reg.ru, там как всегда руками.
Не можете справиться с задачей сами пишите, решу ее за вас, не бесплатно*.
*Интересная задача, Деньги или Бартер. Натурой не беру!
CodersRank | Контакты | Мой GitHub | Workshop
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #11 : 04.07.2017, 20:27:43 »
Есть с сессиями косяк

Кто нибудь может оформить как баг? А то мало ли во что выльется. Любопытных коллег и детей за рабочим местом подставьте.
*

Chigolberi

  • Захожу иногда
  • 464
  • 12 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #12 : 04.07.2017, 21:12:40 »
У меня чтоб в админку войти, нужно сначала пройти HTTP-аутентификацию, может по этому не могу баг повторно словить.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #13 : 04.07.2017, 21:39:51 »
Каждый раз что ли? У меня тоже она стоит. Ну хорошо, что у вас нет бага.
*

Chigolberi

  • Захожу иногда
  • 464
  • 12 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #14 : 04.07.2017, 22:02:08 »
Каждый раз что ли?
Нет, обычная HTTP-аутентификация.
*

capricorn

  • Завсегдатай
  • 1949
  • 118 / 3
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #15 : 04.07.2017, 22:32:52 »
Цитировать
Кто нибудь может оформить как баг?

https://github.com/joomla/joomla-cms/issues/16969

У меня тоже http аутентификация.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #16 : 04.07.2017, 22:54:21 »
https://github.com/joomla/joomla-cms/issues/16969


Ну вот и хорошо. Я пока отключил сессии. Так про всякий случай.
*

Orel

  • Осваиваюсь на форуме
  • 13
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #17 : 05.07.2017, 00:25:30 »
После обновления до 3.7.3 перестали отображаться иконки контакта: иконка адреса, E-mail, моб. тел. и т.д. В настройках компонента Контакты во вкладке Иконки выбрал изображения, но они не отображаются на сайте.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #18 : 05.07.2017, 00:32:14 »
После обновления до 3.7.3 перестали отображаться иконки контакта: иконка адреса, E-mail, моб. тел. и т.д. В настройках компонента Контакты во вкладке Иконки выбрал изображения, но они не отображаются на сайте.

Подтверждаю.

Кроме этого перестало выводится поле емайл и адрес.
« Последнее редактирование: 05.07.2017, 00:35:58 от wishlight »
*

Orel

  • Осваиваюсь на форуме
  • 13
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #19 : 05.07.2017, 00:39:39 »
Подтверждаю.

Кроме этого перестало выводится поле емайл и адрес.

Да, тоже заметил, что E-mail перестал выводиться.
*

vitzer

  • Захожу иногда
  • 303
  • 5 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #20 : 05.07.2017, 03:15:55 »
Обновился. Пока все работает.
Фокус с автовходом не проходит, а вот форма контактов поломалась: не выводится поле адрес.
« Последнее редактирование: 05.07.2017, 11:23:06 от vitzer »
*

Olg

  • Завсегдатай
  • 1170
  • 88 / 2
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #21 : 05.07.2017, 07:58:18 »
На одном из сайтов после обновления нарисовался белый экран. Вывел ошибки. Выдало:
Код
Fatal error: Function name must be a string in .../libraries/cms/router/router.php on line 639
Роутер не трогал.
Никто не в курсе -- с чего бы это?

Update: отключил плагин JL No doubles -- всё заработало.
« Последнее редактирование: 05.07.2017, 08:01:24 от Olg »
*

dmitry_stas

  • Легенда
  • 13151
  • 1234 / 8
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #22 : 05.07.2017, 08:10:58 »
У всех есть баг с бесконечной сессией? Выходишь их админки через выход, потом снова открываешь через пару секунд адрес админки и попадаешь в админку без логина?
у меня да. при чем автовход срабатывает иногда с первого ф5, а иногда со второго
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #23 : 05.07.2017, 08:45:25 »
у меня да. при чем автовход срабатывает иногда с первого ф5, а иногда со второго

Я об этом писал. Еще бы и с контактами баг оформили. Чего то в каждом релизе у них все больше проблем.
*

Apoca1ypto

  • Давно я тут
  • 749
  • 71 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #24 : 05.07.2017, 11:35:24 »
На своих сайтах после обновления не выявил данного бага с авто авторизацией.
Пробовал в разных браузерах, с интервалом и без.
Во время спора в Интернете Ваш оппонент приводит неопровержимые доказательства своей точки зрения? Не отчаивайтесь. До...тесь до орфографии.
*

Biss

  • Давно я тут
  • 994
  • 101 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #25 : 05.07.2017, 12:28:46 »
Цитировать
Кроме этого перестало выводится поле емайл и адрес.
Что-то поменялось видимо в глобальных настройках, нужно сохранить там
а простые настройки должны переопределять и вот это не работает
*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #26 : 05.07.2017, 16:17:11 »
Что-то с номерами страниц в блогах после обновления - только первая цифра высвечивается. Шаблон protostar.
*

ChaosHead

  • Гуру
  • 5242
  • 451 / 13
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #27 : 05.07.2017, 16:23:54 »
Что-то с номерами страниц в блогах после обновления - только первая цифра высвечивается. Шаблон protostar.
У меня в Protostar такого не появилось.
*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #28 : 05.07.2017, 16:38:32 »
У меня в Protostar такого не появилось.

Спасибо. Нашел, причина из-за модуля AdsManager
*

snikolai

  • Захожу иногда
  • 221
  • 20 / 0
Re: Вышел релиз безопасности Joomla! 3.7.3
« Ответ #29 : 05.07.2017, 22:20:34 »
Интересно, насколько серьезны эти уязвимости для Joomla 2.5? Сайтов на Joomla 2.5 еще думаю много ..
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Версии РНР и Joomla 3

Автор Ebelous

Ответов: 6
Просмотров: 328
Последний ответ 29.02.2024, 17:50:02
от web1
SP polls в Joomla 3.8.2

Автор wawont

Ответов: 2
Просмотров: 1370
Последний ответ 22.02.2024, 21:03:15
от Zegeberg
Исправление уязвимости в Joomla 3.10.12

Автор Sulpher

Ответов: 8
Просмотров: 682
Последний ответ 12.01.2024, 22:15:52
от stepan39
Заявки с сайта на Joomla

Автор ivs1

Ответов: 8
Просмотров: 549
Последний ответ 18.12.2023, 12:37:45
от SeBun
Дайте релиз ‎3.10.12

Автор stendapuss

Ответов: 7
Просмотров: 664
Последний ответ 12.12.2023, 17:00:19
от stendapuss