* [Sec] Исправление SQL инъекции в модуле /partners/ - незащищенная переменная $id в /modules/partners/index.php (SecurityFocus BugTraq ID 47388) * [Sec] Исправление SQL инъекции в /register.php — незащищенная переменная $timezone_offset (SecurityFocus BugTraq ID 46342) * [Sec] Исправление SQL инъекции и XSS уязвимости в /modules/forum/topicmanager.php незащищенные переменные $topic_id, $forum, $post_id, $newforum (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/forum/post.php — незащищенные переменные $topic_id и $forum (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/forum/search.php — незащищенная переменная $forum (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/forum/class/class.forumtable.php — незащищенная переменная $last_visit (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/pm/index.php и /modules/pm/pmsend.php — незащищенные переменные $sort и $by (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/banners/index.php — незащищенные переменные $bid, $cid, $url (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/links/viewcat.php — незащищенная переменная $orderby (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/galleri/carte.php — незащищенная переменная $key (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/galleri/index.php — незащищенная переменная $orderby (Secunia Advisory SA43542) * [Sec] Исправление XSS уязвимости в /user.php - отсутствие проверки данных из cookie (OSVDB-ID 72840) * [Sec] Исправление потенциальной Full Path Disclosure (FPD) уязвимости в /include/registerform.php (OSVDB-ID 72848) * [Sec] Исправление Upload Shell уязвимости в /modules/galleri/uploaduser.php (OSVDB-ID 71309) (Secunia Advisory SA43542) * [Sec] Исправление Cross-site request forgery (CSRF) уязвимости в модуле /news/ - незащищенная форма добавления новости (OSVDB-ID 71310) * [Sec] Исправление Upload Shell уязвимости в админ-панели модуля /downloads/ - незащищенные переменные $accepted_files и $shot_accepted_files * [Sec] Исправление уязвимости, допускающей, при некоторых обстоятельствах, несрабатывание встроенного фильтра от SQL инъекций — отсутствие остановки работы PHP скрипта после обнаружения SQL инъекции. * [Sec] Исправление Cross-site request forgery (CSRF) уязвимости в форме регистрации — /include/registerform.php * [Sec] Исправление SQL инъекции в /class/sessions.class.php - незащищенная переменная uid (CVE-2006-4667) * [Sec] Исправление SQL инъекции в /edituser.php - незащищенные переменные umode и timezone_offset (CVE-2006-4667) * [Sec] Исправление SQL инъекции в /include/registerform.php - незащищенная переменная timezone_offset (CVE-2006-4667)
# [Fix] Исправление ошибки двойной очистки текста (экранирования кавычек и т.д.) в /galleri/uploaduser.php и в /galleri/include/admin_edit_img.php # [Fix] Исправление ошибки в файле /galleri/sql/mysql.sql - некорректная запись типа date timestamp для таблицы galli_category # [Fix] Исправление ошибка синтаксиса при добавлении содержания переменной $description в базу данных в модуле /downloads/ # [Fix] Исправление ошибки отображения HP/MP/EXP в модуле /forum/ - /forum/class/class.forumposts.php # [Fix] Добавление стандартного CSS стиля для поля captcha в /contact/include/contactform.php # [Fix] Исправление ошибки в /class/rcxmailer.php - замена $rcxConfig['sleeptime'] на $rcxConfig['send_pause'] (фикс от ZlydenGL) # [Fix] Исправление ошибки в /class/rcxmailer.php - в методах RcxMailer::setToGroups() и RcxMailer::setToUsers() - отсутствие проверки параметра на объект. # [Fix] Исправление в /class/class_sql_inject.php. Удаление cmd из фильтра SQL инъекции # [Fix] Исправление ошибки в методе RcxObject::cleanVars() - отсутствие проверки является ли переменная $v['value'] строкой # [Fix] Исправление ошибки в методе RcxBlock::getAllBlocksByGroup() - отсутствие DISTINCT в SQL запросе # [Fix] Исправление ошибки синтаксиса в /modules/system/admin/disclaimer/language/english/modinfo.php # [Fix] Исправление ошибки в мета-генераторе (meta-generator), которая возникала при удалении всех «желательных» или «нежелательных» слов. # [Fix] Исправление ошибки, возникающей при добавлении и удалении пользователей в группы в админ-панели (отсутствие в форме анти-CSRF токена) # [Fix] Исправление ошибки, возникающей при постраничной навигации на странице списка пользователей в админ-панели (добавлена регенерация анти-CSRF токена) # [Fix] Исправление ошибки вывода пустого заголовка формы в классе RcxThemeForm # [Fix] Исправление ошибки в классе /class/xml-rss.php — отсутствие корректной обработки переменной $description в методе xml_rss::build(), некорректная "очистка" текста в методе xml_rss::cleanup() # [Fix] Добавлены отсутствующие смайлики # [Fix] Закрыт доступ к форме регистрации авторизованным пользователям # [Fix] Исправлена ошибка авторизации (The system can not update the database ...), связанная с ключевым полем таблицы session # [Fix] Исправлена ошибка проверки e-mail при регистрации нового пользователя # [Fix] Исправление ошибки пагинации в модуле /news/ (ZlydenGL) # [Fix] Исправлена ошибка некорректной кодировки страниц в инсталляторе. # [Fix] Исправлена ошибка некорректной кодировки в функции redirect_header(). # [Fix] Исправление ошибки в блоке NewsLight модуля /news/
+ [Feature] Добавление текстовой капчи (проверочный вопрос) в форму регистрации нового пользователя (опционально). + [Feature] Добавление сокрытия (через редирект) внешних ссылок размещенных на сайте (опционально).
! [Note] Только для ссылок размещенных посредством BB–кода и для внешней ссылки на сайт пользователя, которую он указал в профиле (ссылка будет показана в разделе информации о пользователе в комментариях, на форуме, и на странице пользователя).
+ [Feature] Добавлена возможность вносить сайты в "белый список", на которые редирект (сокрытие внешних ссылок) ставиться не будет. + [Feature] Добавлена возможность опционально включать/отключать автоматическое преобразование URL, для всего сайта
! [Note] В RUNCMS при обработке текста производится автоматическое преобразование URL и почтовых адресов в HTML ссылку. Причем это действует и тогда, когда HTML запрещен (а разрешен, например, BB-код). Соответственно этим пользуются спамеры. Данная возможность позволяет исправить эту проблему
+ [Feature] Добавлена отдельная авторизация для администраторов сайта (опционально).
! [Note] Отличие авторизации для администратора:
1) Используются только PHP сессии. 2) Авторизация длится только 20 минут 3) При формировании хэша авторизации используются IP и USER_AGENT администратора 5) Форма авторизации защищена капчей (опционально)
+ [Feature] Добавлена возможность отсылать на e-mail администратора оповещения о входах в панель администрирования (опционально) + [Feature] Добавлена защита от подбора пароля при авторизации
! [Note] Опционально можно указывать:
1) Количество неудачных попыток входа. 2) Время (в мин.), на которое, будет заблокирован IP посетителя 3) Отсылать на e-mail администратора оповещения о попытке подбора пароля.
+ [Feature] Добавлена защита от кликджекинга (опционально) + [Feature] Добавлена возможность включить встроенную в браузер защиту от XSS-атак
! [Note] Только для Internet Explorer 8 и выше
+ [Feature] Добавлена возможность отключить MIME сниффинг в браузере
! [Note] только для Internet Explorer 8 и выше
+ [Feature] Добавлена возможность установить доступ к cookies аутентификации только через HTTP протокол. + [Feature] Добавлена возможность запретить использовать идентификатор PHP сессии в URL + [Feature] Добавлена возможность включить смену идентификатора PHP сессии и указать время жизни идентификатора сессии. + [Feature] Добавлена возможность отключить BB-код в подписи пользователя + [Feature] Добавлена возможность запретить доступ незарегистрированным посетителям к профилям пользователей + [Feature] Добавлена возможность глобально отключить смайлики для всего портала + [Feature] Добавлен новые CSS классы для системных сообщений (notification) / [URL]http://www.paulund.co.uk[/URL] / + [Feature] Добавлена возможность устанавливать свою кодировку соединения с сервером базы данных (SET NAMES) + [Feature] Добавлено HTTP кэширование (опционально включается и настраивается в админ-панели) + [Feature] Добавлена страница 404 ошибки + [Feature] Добавлена выдача HTTP заголовка HTTP/1.1 404 при отсутствующих страницах в модуле /news/ + [Feature] Добавлено отключение редиректа с главной страницы портала (опционально в админ-панели) + [Feature] В модуль /galleri/ добавлена опция запрета голосования для гостей + [Feature] Добавлен отдельный файл CSS /include/admin.css для админ-панели + [Feature] Добавлена возможность указывать SMTP порт в админ-панели + [Feature] Добавлена возможность отключать мета-теги generator, author и copyright + [Feature] Добавлено авто-определение языка в инсталляторе
^ [Change] Добавлена поддержка PHP 5.4 ^ [Change] Библиотека KCAPTCHA 1.0 заменена на KCAPTCHA 2.0 (http://www.captcha.ru), (от ZlydenGL) ^ [Change] Добавлена возможность отправлять из админ-панели HTML текст в приватные сообщения пользователям (если используется визивиг) ^ [Change] Добавлен корректный HTML при отправке писем пользователям из админ-панели при использовании визивига ^ [Change] В /modules/news/admin/index.php в функцию build_rss() добавлена установка даты создания новости ^ [Change] В модуле /headlines/ устаревшая библиотека MagpieRSS была заменена на SimplePie ^ [Change] Добавление в класс RcxFormSelect возможности делать неактивным элемент списка (disabled) ^ [Change] Добавление возможности отключения смайлов в классе RcxFormDhtmlTextArea ^ [Change] Добавление поддержки списков множественного выбора для страницы настроек блоков ^ [Change] Добавление в /class/database/mysql.php в метод Database::query() возможности указывать время жизни кэша ^ [Change] Добавление типа данных array в класс RcxObject ^ [Change] Длина поля title в таблице stories увеличена до 255 символов ^ [Change] Длина поля topic_title в таблице topics увеличена до 255 символов ^ [Change] Длина поля title в таблице nseccont увеличена до 255 символов ^ [Change] Длина поля secname в таблице nsections увеличена до 255 символов ^ [Change] Изменен тип поля version таблицы modules ^ [Change] Файлы /include/rcxjs.php и /class/form/formdhtmltextarea.js.php выделены в отдельно подключаемые Java-Script файлы ^ [Change] Возвращены суб-меню в админ-панели для модулей и системного модуля ^ [Change] Удалена левая панель в админ-панели
$ [Language] Незначительные правки русского перевода