Критическое обновление безопасности Joomla 3.9.5

Подробности

Не так давно был выпущен Релиз безопасности Joomla 3.9.4, однако команда Joomla! Security Strike Team решила порадовать очередным набором найденных уязвимостей, которые вылились в данный апдейт. В обновлении присутствует исправление трёх уязвимостей безопасности, среди них одна с высоким приоритетом, а также исправление различных багов. Как всегда, настоятельно рекомендуем обновиться, не забывайте перед этим сделать бекап!

Критическое обновление безопасности Joomla 3.9.5
Критическое обновление безопасности Joomla 3.9.5

Рассмотрим детальнее, что поменялось в плане безопасности в выпущенном патче.

Список исправленных уязвимостей Joomla 3.9.5

  • CVE-2019-10945 - низкий приоритет - уязвимость несанкционированного доступа к файловой системе в com_media - уязвимы все версии Joomla от 1.5.0 до 3.9.4 - компонент медиа менеджер не обрабатывал должным образом параметры папок, что могло позволить злоумышленникам выйти за пределы разрешенного каталога
  • CVE-2019-10946 - высокий приоритет - нарушение прав доступа в ядре - подвержены Joomla 3.2.0-3.9.4 - дыра позволяет делать вызовы к обновлению списка сайтов помощи для неавторизованных пользователей
  • CVE-2018-16492 - низкий приоритет - Object.prototype pollution в JQuery $.extend - дыра присутствует в версиях 3.0.0-3.9.4 -  метод JQuery $.extend позволяет инжектить (добавлять) произвольные параметры в объект прототипа

В целом нету ничего сильно пугающего, однако перестраховаться не помешает.

Кроме этого было добавлено более 20 улучшений и исправлений багов.

Список изменений джумла 3.9.5

  • Пароли пользователей: добавлено правило минимального числа маленьких букв для валидации
  • Вкладка ассоциаций: исправлено неправильное поведение индонезийского языка
  • Отладка языка: пофикшено логирование пользовательских действий
  • Новый язык инсталляции: казахский
  • плагин авторизации Google (двухфакторной авторизации): внедрен генератор QR-кодов

Вот и все небольшие изменения очередного релиза

Проблемы при обновлении до Joomla 3.9.5

Не обошлось в данном релизе проблем с работоспособностью тех или иных функций.

Некоторые пользователи жалуются, что перестали работать некоторые кастомные поля. Для решения этой проблемы необходимо в параметрах переставить ползунок "Показать в" на значение "Оба".

Также многим пользователям не получается загрузить в медиа-менеджере файлы, получают ошибку:

Не удаётся загрузить файл.: undefined
unable to upload file.: undefined

Этот баг известен, однако пока официального решения нет.

Добавить комментарий