Сайт сообщества | Клуб пользователей | О проекте

Имя
Пароль
ПравилаРегистрацияСправка
Сообщения за деньПоиск

Вернуться   Клуб пользователей портальной системы RUNCMS > Технические > Новости и анонсы

Ответ
 
Опции темы Опции просмотра
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #1 02-13-2015, 23:31

Готовится к выпуску новая версия RUNCMS - 2.2.3.0. В основном это добавление исправлений и дополнений накопившихся за последние несколько лет.

Скачать DEV версию RUNCMS 2.2.3.0, можно по следующей ссылке: RUNCMS 2.2.3.0 >>> (обратите внимание, что это не релизная версия)

В этой версии исправлено более 20 уязвимостей, исправлено большое количество ошибок. Добавлено около 20 новых возможностей, в основном, связанных с дополнительной безопасностью системы. Добавлена совместимость с PHP 5.4

Полный список изменений:

Цитата:
* [Sec] Исправление SQL инъекции в модуле /partners/ - незащищенная переменная $id в /modules/partners/index.php (SecurityFocus BugTraq ID 47388)
* [Sec] Исправление SQL инъекции в /register.php — незащищенная переменная $timezone_offset (SecurityFocus BugTraq ID 46342)
* [Sec] Исправление SQL инъекции и XSS уязвимости в /modules/forum/topicmanager.php незащищенные переменные $topic_id, $forum, $post_id, $newforum (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/forum/post.php — незащищенные переменные $topic_id и $forum (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/forum/search.php — незащищенная переменная $forum (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/forum/class/class.forumtable.php — незащищенная переменная $last_visit (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/pm/index.php и /modules/pm/pmsend.php — незащищенные переменные $sort и $by (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/banners/index.php — незащищенные переменные $bid, $cid, $url (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/links/viewcat.php — незащищенная переменная $orderby (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/galleri/carte.php — незащищенная переменная $key (Secunia Advisory SA43542)
* [Sec] Исправление SQL инъекции в /modules/galleri/index.php — незащищенная переменная $orderby (Secunia Advisory SA43542)
* [Sec] Исправление XSS уязвимости в /user.php - отсутствие проверки данных из cookie (OSVDB-ID 72840)
* [Sec] Исправление потенциальной Full Path Disclosure (FPD) уязвимости в /include/registerform.php (OSVDB-ID 72848)
* [Sec] Исправление Upload Shell уязвимости в /modules/galleri/uploaduser.php (OSVDB-ID 71309) (Secunia Advisory SA43542)
* [Sec] Исправление Cross-site request forgery (CSRF) уязвимости в модуле /news/ - незащищенная форма добавления новости (OSVDB-ID 71310)
* [Sec] Исправление Upload Shell уязвимости в админ-панели модуля /downloads/ - незащищенные переменные $accepted_files и $shot_accepted_files
* [Sec] Исправление уязвимости, допускающей, при некоторых обстоятельствах, несрабатывание встроенного фильтра от SQL инъекций — отсутствие остановки работы PHP скрипта после обнаружения SQL инъекции.
* [Sec] Исправление Cross-site request forgery (CSRF) уязвимости в форме регистрации — /include/registerform.php

# [Fix] Исправление ошибки двойной очистки текста (экранирования кавычек и т.д.) в /galleri/uploaduser.php и в /galleri/include/admin_edit_img.php
# [Fix] Исправление ошибки в файле /galleri/sql/mysql.sql - некорректная запись типа date timestamp для таблицы galli_category
# [Fix] Исправление ошибка синтаксиса при добавлении содержания переменной $description в базу данных в модуле /downloads/
# [Fix] Исправление ошибки отображения HP/MP/EXP в модуле /forum/ - /forum/class/class.forumposts.php
# [Fix] Добавление стандартного CSS стиля для поля captcha в /contact/include/contactform.php
# [Fix] Исправление ошибки в /class/rcxmailer.php - замена $rcxConfig['sleeptime'] на $rcxConfig['send_pause'] (фикс от ZlydenGL)
# [Fix] Исправление ошибки в /class/rcxmailer.php - в методах RcxMailer::setToGroups() и RcxMailer::setToUsers() - отсутствие проверки параметра на объект.
# [Fix] Исправление в /class/class_sql_inject.php. Удаление cmd из фильтра SQL инъекции
# [Fix] Исправление ошибки в методе RcxObject::cleanVars() - отсутствие проверки является ли переменная $v['value'] строкой
# [Fix] Исправление ошибки в методе RcxBlock::getAllBlocksByGroup() - отсутствие DISTINCT в SQL запросе
# [Fix] Исправление ошибки синтаксиса в /modules/system/admin/disclaimer/language/english/modinfo.php
# [Fix] Исправление ошибки в мета-генераторе (meta-generator), которая возникала при удалении всех «желательных» или «нежелательных» слов.
# [Fix] Исправление ошибки, возникающей при добавлении и удалении пользователей в группы в админ-панели (отсутствие в форме анти-CSRF токена)
# [Fix] Исправление ошибки, возникающей при постраничной навигации на странице списка пользователей в админ-панели (добавлена регенерация анти-CSRF токена)
# [Fix] Исправление ошибки вывода пустого заголовка формы в классе RcxThemeForm
# [Fix] Исправление ошибки в классе /class/xml-rss.php — отсутствие корректной обработки переменной $description в методе xml_rss::build(), некорректная "очистка" текста в методе xml_rss::cleanup()
# [Fix] Добавлены отсутствующие смайлики
# [Fix] Закрыт доступ к форме регистрации авторизованным пользователям

+ [Feature] Добавление текстовой капчи (проверочный вопрос) в форму регистрации нового пользователя (опционально).
+ [Feature] Добавление сокрытия (через редирект) внешних ссылок размещенных на сайте (опционально).

! [Note] Только для ссылок размещенных посредством BB–кода и для внешней ссылки на сайт пользователя, которую он указал в профиле (ссылка будет показана в разделе информации о пользователе в комментариях, на форуме, и на странице пользователя).

+ [Feature] Добавлена возможность вносить сайты в "белый список", на которые редирект (сокрытие внешних ссылок) ставиться не будет.
+ [Feature] Добавлена возможность опционально включать/отключать автоматическое преобразование URL, для всего сайта

! [Note] В RUNCMS при обработке текста производится автоматическое преобразование URL и почтовых адресов в HTML ссылку. Причем это действует и тогда, когда HTML запрещен (а разрешен, например, BB-код). Соответственно этим пользуются спамеры. Данная возможность позволяет исправить эту проблему

+ [Feature] Добавлена отдельная авторизация для администраторов сайта (опционально).

! [Note] Отличие авторизации для администратора:

1) Используются только PHP сессии.
2) Авторизация длится только 20 минут
3) При формировании хэша авторизации используются IP и USER_AGENT администратора
5) Форма авторизации защищена капчей (опционально)

+ [Feature] Добавлена возможность отсылать на e-mail администратора оповещения о входах в панель администрирования (опционально)
+ [Feature] Добавлена защита от подбора пароля при авторизации

! [Note] Опционально можно указывать:

1) Количество неудачных попыток входа.
2) Время (в мин.), на которое, будет заблокирован IP посетителя
3) Отсылать на e-mail администратора оповещения о попытке подбора пароля.

+ [Feature] Добавлена защита от кликджекинга (опционально)
+ [Feature] Добавлена возможность включить встроенную в браузер защиту от XSS-атак

! [Note] Только для Internet Explorer 8 и выше

+ [Feature] Добавлена возможность отключить MIME сниффинг в браузере

! [Note] только для Internet Explorer 8 и выше

+ [Feature] Добавлена возможность установить доступ к cookies аутентификации только через HTTP протокол.
+ [Feature] Добавлена возможность запретить использовать идентификатор PHP сессии в URL
+ [Feature] Добавлена возможность включить смену идентификатора PHP сессии и указать время жизни идентификатора сессии.
+ [Feature] Добавлена возможность отключить BB-код в подписи пользователя
+ [Feature] Добавлена возможность запретить доступ незарегистрированным посетителям к профилям пользователей
+ [Feature] Добавлена возможность глобально отключить смайлики для всего портала
+ [Feature] Добавлен новые CSS классы для системных сообщений (notification) / http://www.paulund.co.uk /
+ [Feature] Добавлена возможность устанавливать свою кодировку соединения с сервером базы данных (SET NAMES)

^ [Change] Добавлена поддержка PHP 5.4
^ [Change] Библиотека KCAPTCHA 1.0 заменена на KCAPTCHA 2.0 (http://www.captcha.ru), (от ZlydenGL - http://www.runcms.ru/forum/showthread.php?t=10817)
^ [Change] Добавлена возможность отправлять из админ-панели HTML текст в приватные сообщения пользователям (если используется визивиг)
^ [Change] Добавлен корректный HTML при отправке писем пользователям из админ-панели при использовании визивига
^ [Change] В /modules/news/admin/index.php в функцию build_rss() добавлена установка даты создания новости
^ [Change] В модуле /headlines/ устаревшая библиотека MagpieRSS была заменена на SimplePie
^ [Change] Добавление в класс RcxFormSelect возможности делать неактивным элемент списка (disabled)
^ [Change] Добавление возможности отключения смайлов в классе RcxFormDhtmlTextArea
^ [Change] Добавление поддержки списков множественного выбора для страницы настроек блоков
^ [Change] Добавление в /class/database/mysql.php в метод Database::query() возможности указывать время жизни кэша
^ [Change] Добавление типа данных array в класс RcxObject

$ [Language] Незначительные правки русского перевода
Скачать RUNCMS 2.2.3.0 DEV >>>

Последний раз редактировалось LARK, 02-14-2015 в 01:13


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Ответ

Метки
2.2.3, 2.2.3.0, 2.2.x, github

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Вкл.
Быстрый переход


Рейтинг@Mail.ru Хостинг провайдер Majordomo. Powered by: vBulletin Version 3.0
Copyright ©2000-2024, Jelsoft Enterprises Ltd.
Все разделы прочитаны - Руководство форума - Архив - Вверх
Rambler's Top100
Output: 44.00 Kb. compressed to 42.44 Kb. by saving 1.56 Kb. (3.55%)
Page generated in 0.06352 seconds with 10 queries