Форум русской поддержки Joomla!® CMS
23.07.2017, 10:46:12 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Вышел релиз безопасности Joomla! 3.7.3

 (Прочитано 1608 раз)
0 Пользователей и 1 Гость смотрят эту тему.
b2z
Support Team
*****

Репутация: +737/-0
Offline Offline

Пол: Мужской
Сообщений: 7738


Разраблю понемногу


« : 04.07.2017, 17:59:05 »

Закрыты три уязвимости, в том числе две высокого уровня. Исправлено более 230 ошибок, а также улучшений.

Цитировать
Высокий приоритет - Ядро - раскрытие информации (относится к 1.7.3 - 3.7.2)
Высокий приоритет - Ядро - XSS (относится к 1.7.3 - 3.7.2)
Низкий приоритет - Ядро - XSS (относитсяк 1.5.0 - 3.6.5)

Официальная новость
Новость на русском
Новость на JoomlaPortal
« Последнее редактирование: 04.07.2017, 21:22:09 от zikkuratvk » Записан
 
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #1 : 04.07.2017, 20:23:07 »

У всех есть баг с бесконечной сессией? Выходишь их админки через выход, потом снова открываешь через пару секунд адрес админки и попадаешь в админку без логина?

Вообще какая-то муть с сессиями.

Грешил на кэш, но при полном отключении кэша то же самое.

Если поставить хранение сессий в "нет", то разлогинивается нормально. Проблема именно в сессиях.

Она именно как-то восстанавливается. Заходить надо подождав секунд 5.

За указанные 30 минут сессия не кончилась и я смог попасть в админку обновляемого сайта. Но только с того же пк, на котором работал.
« Последнее редактирование: 04.07.2017, 20:43:09 от wishlight » Записан
arma
Живу я здесь
******

Репутация: +64/-2
Offline Offline

Сообщений: 1373


« Ответ #2 : 04.07.2017, 20:43:30 »

Глянул у себя и на двух разных серверах такого не наблюдаю.
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #3 : 04.07.2017, 20:44:09 »

Странно. У меня везде так. Во всех браузерах. А на одном нет... Похоже расширение что ли какое?
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #4 : 04.07.2017, 20:49:42 »

А не. И на нем тоже. Только ждать надо секунд десять перед обновлением адреса админки. На последней оставшейся 3.6.5 нет такого... Точно нет? Даже если клацнуть f5 пару раз?

Не сразу обновляйте.. Ждите подольше. Вот один через 20 секунд опять вошел.
« Последнее редактирование: 04.07.2017, 21:01:19 от wishlight » Записан
Chigolberi
Завсегдатай
*****

Репутация: +12/-0
Offline Offline

Пол: Мужской
Сообщений: 407



« Ответ #5 : 04.07.2017, 21:02:38 »

У меня один рас такое проскочило, проверил сразу после обновления, повторить такой фокус больше не получается. Поймал нажав F5 (в браузере Мозила)
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #6 : 04.07.2017, 21:04:38 »

У вас Mozilla хранит историю? Попробуйте в браузере с хранением истории и не закрывайте его. Выйти, подождать 20 сек, нажать f5 несколько раз. Войдет или нет?
« Последнее редактирование: 04.07.2017, 21:08:26 от wishlight » Записан
Chigolberi
Завсегдатай
*****

Репутация: +12/-0
Offline Offline

Пол: Мужской
Сообщений: 407



« Ответ #7 : 04.07.2017, 21:10:05 »

Mozilla Firefox, историю сохраняет, попробовал через 20сек. после выхода, не получается повторить этот фокус.
Записан
capricorn
Практически профи
*******

Репутация: +106/-1
Offline Offline

Сообщений: 1679


« Ответ #8 : 04.07.2017, 21:12:19 »

Подтверждаю.

Админка открыта. В таблице сессий одна неактивная сессия суперюзера.

Код
INSERT INTO `jw578_session` (`session_id`, `client_id`, `guest`, `time`, `data`, `userid`, `username`) VALUES
('jbmcucaocpj03neervsav2emb6', 1, 1, '1499188114', '__koowa|a:3:{s:10:"__metadata";a:2:{s:5:"timer";a:3:{s:5:"start";i:1499187673;s:4:"last";i:1499188048;s:3:"now";i:1499188106;}s:5:"token";s:40:"3d2de066fa9e2ccca1f4c1aa5737cd5d22f85b07";}s:11:"__attribute";a:1:{s:4:"user";a:12:{s:2:"id";s:3:"354";s:5:"email";s:21:"omroncenter@yandex.ru";s:4:"name";s:10:"Super User";s:8:"username";s:5:"adm1n";s:8:"password";s:60:"$2y$10$wTjJMRyQD1WC73GQiv8.HO4WCuHUZ1gAlxeLzDYSU9KJfF1nNiTyW";s:4:"salt";s:0:"";s:9:"authentic";b:1;s:7:"enabled";b:1;s:7:"expired";b:1;s:10:"attributes";a:0:{}s:5:"roles";a:0:{}s:6:"groups";a:0:{}}}s:9:"__message";a:0:{}}joomla|s:1120:"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";', 0, '');

« Последнее редактирование: 04.07.2017, 21:29:11 от capricorn » Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #9 : 04.07.2017, 21:12:41 »

Чтож у меня так хорошо получается... Ладно будем тестировать.
Записан
Septdir
Практически профи
*******

Репутация: +97/-3
Offline Offline

Пол: Мужской
Сообщений: 1958


Skype: septdir


« Ответ #10 : 04.07.2017, 21:26:19 »

Есть с сессиями косяк, причем с тех пор как сделали совсемсные (адмика + фронт), но вылезает через раз.
А так полет нормальный кроме reg.ru, там как всегда руками.
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #11 : 04.07.2017, 21:27:43 »

Есть с сессиями косяк

Кто нибудь может оформить как баг? А то мало ли во что выльется. Любопытных коллег и детей за рабочим местом подставьте.
Записан
Chigolberi
Завсегдатай
*****

Репутация: +12/-0
Offline Offline

Пол: Мужской
Сообщений: 407



« Ответ #12 : 04.07.2017, 22:12:40 »

У меня чтоб в админку войти, нужно сначала пройти HTTP-аутентификацию, может по этому не могу баг повторно словить.
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #13 : 04.07.2017, 22:39:51 »

Каждый раз что ли? У меня тоже она стоит. Ну хорошо, что у вас нет бага.
Записан
Chigolberi
Завсегдатай
*****

Репутация: +12/-0
Offline Offline

Пол: Мужской
Сообщений: 407



« Ответ #14 : 04.07.2017, 23:02:08 »

Каждый раз что ли?
Нет, обычная HTTP-аутентификация.
Записан
capricorn
Практически профи
*******

Репутация: +106/-1
Offline Offline

Сообщений: 1679


« Ответ #15 : 04.07.2017, 23:32:52 »

Цитировать
Кто нибудь может оформить как баг?

https://github.com/joomla/joomla-cms/issues/16969

У меня тоже http аутентификация.
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #16 : 04.07.2017, 23:54:21 »


Ну вот и хорошо. Я пока отключил сессии. Так про всякий случай.
Записан
Orel
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 28


« Ответ #17 : 05.07.2017, 01:25:30 »

После обновления до 3.7.3 перестали отображаться иконки контакта: иконка адреса, E-mail, моб. тел. и т.д. В настройках компонента Контакты во вкладке Иконки выбрал изображения, но они не отображаются на сайте.
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #18 : 05.07.2017, 01:32:14 »

После обновления до 3.7.3 перестали отображаться иконки контакта: иконка адреса, E-mail, моб. тел. и т.д. В настройках компонента Контакты во вкладке Иконки выбрал изображения, но они не отображаются на сайте.

Подтверждаю.

Кроме этого перестало выводится поле емайл и адрес.
« Последнее редактирование: 05.07.2017, 01:35:58 от wishlight » Записан
Orel
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 28


« Ответ #19 : 05.07.2017, 01:39:39 »

Подтверждаю.

Кроме этого перестало выводится поле емайл и адрес.

Да, тоже заметил, что E-mail перестал выводиться.
Записан
vitzer
Давно я тут
****

Репутация: +4/-0
Offline Offline

Сообщений: 249


« Ответ #20 : 05.07.2017, 04:15:55 »

Обновился. Пока все работает.
Фокус с автовходом не проходит, а вот форма контактов поломалась: не выводится поле адрес.
« Последнее редактирование: 05.07.2017, 12:23:06 от vitzer » Записан
Olg
Живу я здесь
******

Репутация: +74/-1
Offline Offline

Пол: Мужской
Сообщений: 1076


« Ответ #21 : 05.07.2017, 08:58:18 »

На одном из сайтов после обновления нарисовался белый экран. Вывел ошибки. Выдало:
Код:
Fatal error: Function name must be a string in .../libraries/cms/router/router.php on line 639
Роутер не трогал.
Никто не в курсе -- с чего бы это?

Update: отключил плагин JL No doubles -- всё заработало.
« Последнее редактирование: 05.07.2017, 09:01:24 от Olg » Записан
dmitry_stas
Профи
********

Репутация: +923/-6
Online Online

Сообщений: 9718



« Ответ #22 : 05.07.2017, 09:10:58 »

У всех есть баг с бесконечной сессией? Выходишь их админки через выход, потом снова открываешь через пару секунд адрес админки и попадаешь в админку без логина?
у меня да. при чем автовход срабатывает иногда с первого ф5, а иногда со второго
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3771


skype aqaus.com


« Ответ #23 : 05.07.2017, 09:45:25 »

у меня да. при чем автовход срабатывает иногда с первого ф5, а иногда со второго

Я об этом писал. Еще бы и с контактами баг оформили. Чего то в каждом релизе у них все больше проблем.
Записан
Apoca1ypto
Завсегдатай
*****

Репутация: +69/-0
Offline Offline

Пол: Мужской
Сообщений: 732



« Ответ #24 : 05.07.2017, 12:35:24 »

На своих сайтах после обновления не выявил данного бага с авто авторизацией.
Пробовал в разных браузерах, с интервалом и без.
Записан
Biss
Завсегдатай
*****

Репутация: +79/-0
Offline Offline

Пол: Мужской
Сообщений: 787



« Ответ #25 : 05.07.2017, 13:28:46 »

Цитировать
Кроме этого перестало выводится поле емайл и адрес.
Что-то поменялось видимо в глобальных настройках, нужно сохранить там
а простые настройки должны переопределять и вот это не работает
Записан
Guran
Давно я тут
****

Репутация: +22/-0
Offline Offline

Пол: Мужской
Сообщений: 283


Андрей Булатов


« Ответ #26 : 05.07.2017, 17:17:11 »

Что-то с номерами страниц в блогах после обновления - только первая цифра высвечивается. Шаблон protostar.


* 1.jpg (4.47 Кб, 330x66 - просмотрено 11 раз.)
Записан
ChaosHead
Профи
********

Репутация: +409/-14
Offline Offline

Пол: Мужской
Сообщений: 4741



« Ответ #27 : 05.07.2017, 17:23:54 »

Что-то с номерами страниц в блогах после обновления - только первая цифра высвечивается. Шаблон protostar.
У меня в Protostar такого не появилось.
Записан
Guran
Давно я тут
****

Репутация: +22/-0
Offline Offline

Пол: Мужской
Сообщений: 283


Андрей Булатов


« Ответ #28 : 05.07.2017, 17:38:32 »

У меня в Protostar такого не появилось.

Спасибо. Нашел, причина из-за модуля AdsManager
Записан
snikolai
Давно я тут
****

Репутация: +19/-0
Offline Offline

Сообщений: 209


« Ответ #29 : 05.07.2017, 23:20:34 »

Интересно, насколько серьезны эти уязвимости для Joomla 2.5? Сайтов на Joomla 2.5 еще думаю много ..
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet