0 Пользователей и 1 Гость просматривают эту тему.
  • 28 Ответов
  • 12602 Просмотров
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Доступна к загрузке Joomla! 3.9.3.

Это релиз безопасности и исправлений, незамедлительно рекомендуется к установке. Закрыто 6 уязвимостей низкого уровня.

Новость на русском
Официальная новость
*

Igor5

  • Захожу иногда
  • 101
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #1 : 12.02.2019, 19:22:23 »
 ^-^ ^-^
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #2 : 12.02.2019, 21:48:42 »
Привет.
Я обновил до 3.9.3.
Но есть непонятность.
Joomla в Панели управления пишет "У вас есть важные системные сообщения (после установки или обновления), которые требуют вашего внимания."

Сообщение такое:
.htaccess & web.config security Update
Начиная с версии 3.9.3

Since Joomla 3.9.3, Joomla is shipped with additional security hardenings in the default htaccess.txt and web.config.txt files. ...Бла-бла.

The security teams recommends to manually apply the necessary changes to existing .htaccess or web.config files, as those files can not be updated automatically.

Changes for .htaccess
Add the following lines before "## Mod_rewrite in use.":
Код
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
</IfModule>

Changes for web.config
Add the following lines right after "</rewrite>":
Код
<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

В файле web.config у меня нужные (новые) строки уже оказались на нужном месте, так что я ничего не меняю.

А вот в файле .htaccess вообще нет строки "## Mod_rewrite in use.":
Там всего 3 строки
Код
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Что делать? Если я правильно понял союз or = или, можно не делать ничего, т.к. в web.config нужное есть.
Или?
Спасибо.
*

zikkuratvk

  • Глобальный модератор
  • 4818
  • 344 / 2
  • Обслуживаем проекты - дорого.
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #3 : 12.02.2019, 21:52:47 »
Чтоб ответить на этот вопрос надо сначала понять, какой вебсервер вы используете.
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #4 : 12.02.2019, 21:59:09 »
А вот в файле .htaccess вообще нет строки "## Mod_rewrite in use.":
Там всего 3 строки
Наверно панель управления хостингом переписала стандартный .htaccess при включении SSL .  Обычно добавляется эта запись 3 строчки, вверху, а потом идут стандартные директивы Joomla .
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #5 : 12.02.2019, 22:51:19 »
Наверно панель управления хостингом переписала стандартный .htaccess при включении SSL .  Обычно добавляется эта запись 3 строчки, вверху, а потом идут стандартные директивы Joomla .
Вы правы, на днях пересел на SSL.
Но кроме этих 3х строк (в файле в папке корня джумлы) ничего нет.
...
Цитата: zikkuratvk
Чтоб ответить на этот вопрос надо сначала понять, какой вебсервер вы используете.
Извините, не знаю что ответить. Называется WebHosting, есть место и базы данных.
......

А все-таки, хватит того, что в web.config нужное есть?
Спасибо.
« Последнее редактирование: 12.02.2019, 22:57:41 от lemur »
*

stepan39

  • Захожу иногда
  • 497
  • 27 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #6 : 12.02.2019, 23:27:04 »
Чтоб ответить на этот вопрос надо сначала понять, какой вебсервер вы используете.
.. и не включена ли уже эта функция в настройках сервера.

На автомате добавил в .htaccess рекомендуемый код, проверяю - в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff.
Это на шареде.
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #7 : 12.02.2019, 23:37:15 »
На автомате добавил в .htaccess рекомендуемый код, проверяю - в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff.
Это на шареде.
Извините, очень умно для меня. То есть у вас (после апдейта на 3.9.3?) все само поправилось?
Может и у меня с web.config все ок, и этого хватит?
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #8 : 13.02.2019, 01:14:49 »
.. и не включена ли уже эта функция в настройках сервера.
На автомате добавил в .htaccess рекомендуемый код, проверяю - в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff.

Только сейчас дошло - может быть подобным способом как-то проверить можно, удовлетворены ли требовани\ Joomla 3.9.3 на моем сервере? Надо вот это проверять "в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff."? А как?

*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #9 : 13.02.2019, 03:10:03 »
Может и у меня с web.config все ок, и этого хватит?

Файл web.config используется, если на сервере установлена ОС Windows, но это вряд ли. Хотя все может быть, если при покупке выбрали её.

Надо вот это проверять "в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff."? А как?

В браузере откройте исходный код страницы.
*

bratsk12

  • Осваиваюсь на форуме
  • 36
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #10 : 13.02.2019, 08:28:02 »
Тоже то то парюсь ))) Есть три файла: .htaccess  htaccess.txt и web.config.txt
В htaccess.txt есть  уже такая запись, начиная с 24 строки
Спойлер
[свернуть]
А вот в .htaccess этого нет Строка 19
Спойлер
[свернуть]

В файле web.config.txt рекомендуемые строки добавлены автоматически (хотя написано, что вроде как Joomla не может их обновить)
Вопрос: что и с каким из .htaccess  htaccess.txt делать? Добавить в .htaccess? Или оставить все как есть?
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #11 : 13.02.2019, 08:32:13 »
Вопрос: что и с каким из .htaccess  htaccess.txt делать? Добавить в .htaccess?
Добавить все директивы , которых нет в .htaccess, а есть в htaccess.txt     .
*

bratsk12

  • Осваиваюсь на форуме
  • 36
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #12 : 13.02.2019, 08:34:45 »
Добавить все директивы , которых нет в .htaccess, а есть в htaccess.txt     .
Спасибо! Сделаю сейчас!
*

stepan39

  • Захожу иногда
  • 497
  • 27 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #13 : 13.02.2019, 10:19:36 »
Только сейчас дошло - может быть подобным способом как-то проверить можно, удовлетворены ли требовани\ Joomla 3.9.3 на моем сервере? Надо вот это проверять "в заголовке 2 одинаковых записи: X-Content-Type-Options:nosniff."? А как?
https://2ip.ru/server-response/
*

stepan39

  • Захожу иногда
  • 497
  • 27 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #14 : 13.02.2019, 10:21:30 »
Файл web.config используется, если на сервере установлена ОС Windows, но это вряд ли. Хотя все может быть, если при покупке выбрали её.

В браузере откройте исходный код страницы.


И что Вы там увидите?  ;D
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
*

khan-alex

  • Давно я тут
  • 646
  • 30 / 1
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #16 : 13.02.2019, 12:03:33 »
Добавил в новость про изменения в безопасности.
Нужное обновление, пока на всех сайтах без крашей!
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #17 : 13.02.2019, 16:31:59 »
Добавить все директивы , которых нет в .htaccess, а есть в htaccess.txt     .

Страшно брюсь все испортить (нет никаких знаний про сервера :-( ).
Поэтому хочу уточнить ваш совет.

1) У меня в .htaccess только 3 строки
Спойлер
[свернуть]
А в htaccess.txt очень много
Спойлер
[свернуть]
а) Надо все из htaccess.txt скопировать в htaccess?
б) ниже того, что в htaccess есть?

2) Строка
RewriteEngine On
есть в обоих файлах. Ее в скопированном тексте стираю, так?

3) В htaccess.txt есть много строк с RewriteCond (но такой как в htaccess нет. Пусть все будут, порядок не важен?

4) Про
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
из htaccess в htaccess.txt есть какой-то коммент
Спойлер
[свернуть]
Оставить в htaccess как есть?

5) В htaccess.txt есть упоминание Joomla (# @package Joomla). Подозреваю, что Joomla при обновлении и написала в htaccess.txt нужные строки
Спойлер
[свернуть]
Как, кстати, и в web.config.

Может быть, предложение Joomla о Changes for .htaccess и Changes for web.config, с которого я начал хайп, лишнее и ничего делать вообще не надо?

Спасибо.

*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #18 : 13.02.2019, 17:13:00 »
@lemur

Изменения для .htaccess

Добавить следующие строки перед "## Mod_rewrite in use." или "RewriteEngine On":

Код
<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
</IfModule>
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #19 : 13.02.2019, 20:06:50 »
а) Надо все из htaccess.txt скопировать в htaccess?
б) ниже того, что в htaccess есть?
Да. Но точнее можно посоветовать, если знать точно параметры вашего хостинга.
МОжет htaccess вообще не работает.
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #20 : 13.02.2019, 22:30:06 »
@lemur

Изменения для .htaccess

Добавить следующие строки перед "## Mod_rewrite in use." или "RewriteEngine On":
Код
<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
</IfModule>

Спасибо.
Сделал
*

lemur

  • Захожу иногда
  • 53
  • 0 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #21 : 13.02.2019, 22:39:28 »
а) Надо все из htaccess.txt скопировать в htaccess?
б) ниже того, что в htaccess есть?
Да.

Спасибо. Уже воспользовался советом, данным b2z чуть раньше.
Цитировать
Добавить следующие строки перед "RewriteEngine On":
Разница у вас и b2z в словах "перед" и "после". Но проверять не буду, т.к. не знаю как.
Надеюсь, вопрос закрыл.
Всем еще раз спасибо.
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #22 : 14.02.2019, 00:06:38 »
Ох.. Задали они мне с обновлением 14 часов работы. Спать хочу. Попали на дедлайн.
*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #23 : 15.02.2019, 03:51:44 »
А для Nginx без Apache никаких нововведений нет? Как всегда, обошли стороной.

И что Вы там увидите?  ;D
Да хотел поумничать, а получилось - сглупил.
*

stepan39

  • Захожу иногда
  • 497
  • 27 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #24 : 15.02.2019, 06:31:38 »
А для Nginx без Apache никаких нововведений нет? Как всегда, обошли стороной.
Да хотел поумничать, а получилось - сглупил.
На VDS у меня голый nginx. В секции server конфига добавил это:

add_header X-Content-Type-Options nosniff;
*

Guran

  • Захожу иногда
  • 329
  • 22 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #25 : 15.02.2019, 09:10:53 »
На VDS у меня голый nginx. В секции server конфига добавил это:

add_header X-Content-Type-Options nosniff;

Спасибо. Я ещё такую строку видел: add_header X-XSS-Protection "1; mode=block";
Она аналогичная или отличается?
*

stepan39

  • Захожу иногда
  • 497
  • 27 / 0
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #26 : 15.02.2019, 10:04:20 »
add_header X-XSS-Protection
Погуглите. Первое что дает https://habr.com/ru/company/hosting-cafe/blog/315802/
Google, Facebook, Github используют этот заголовок, и большинство консультантов по предупреждению проникновений порекомендуют Вам его использовать.
*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Re: Вышел релиз безопасности Joomla! 3.9.3
« Ответ #27 : 19.02.2019, 10:41:10 »
Ошибка в менеджере пользователей-Настройки
Код
Fatal error: Can't use function return value in write context in /layouts/joomla/form/field/subform/repeatable-table.php on line 59
PHP 5.4.3 Joomla 3.9.3. На сайте клиента PHP 5.4.3 Joomla 3.9.2 такой ошибки нет.
Оба сайта на локалке.
Решение. Убрать вызов JText::_() в условие проверки. Кстати этой проверки нет в Joomla 3.9.2 .
Код
if (!empty($field->description))
     {
       $table_head .= '<br /><small style="font-weight:normal">' . JText::_($field->description). '</small>';
     }
« Последнее редактирование: 19.02.2019, 11:01:26 от draff »
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Версии РНР и Joomla 3

Автор Ebelous

Ответов: 6
Просмотров: 328
Последний ответ 29.02.2024, 17:50:02
от web1
SP polls в Joomla 3.8.2

Автор wawont

Ответов: 2
Просмотров: 1370
Последний ответ 22.02.2024, 21:03:15
от Zegeberg
Исправление уязвимости в Joomla 3.10.12

Автор Sulpher

Ответов: 8
Просмотров: 682
Последний ответ 12.01.2024, 22:15:52
от stepan39
Заявки с сайта на Joomla

Автор ivs1

Ответов: 8
Просмотров: 549
Последний ответ 18.12.2023, 12:37:45
от SeBun
Дайте релиз ‎3.10.12

Автор stendapuss

Ответов: 7
Просмотров: 664
Последний ответ 12.12.2023, 17:00:19
от stendapuss