Не так давно был выпущен Релиз безопасности Joomla 3.9.4, однако команда Joomla! Security Strike Team решила порадовать очередным набором найденных уязвимостей, которые вылились в данный апдейт. В обновлении присутствует исправление трёх уязвимостей безопасности, среди них одна с высоким приоритетом, а также исправление различных багов. Как всегда, настоятельно рекомендуем обновиться, не забывайте перед этим сделать бекап!
Рассмотрим детальнее, что поменялось в плане безопасности в выпущенном патче.
Список исправленных уязвимостей Joomla 3.9.5
- CVE-2019-10945 - низкий приоритет - уязвимость несанкционированного доступа к файловой системе в com_media - уязвимы все версии Joomla от 1.5.0 до 3.9.4 - компонент медиа менеджер не обрабатывал должным образом параметры папок, что могло позволить злоумышленникам выйти за пределы разрешенного каталога
- CVE-2019-10946 - высокий приоритет - нарушение прав доступа в ядре - подвержены Joomla 3.2.0-3.9.4 - дыра позволяет делать вызовы к обновлению списка сайтов помощи для неавторизованных пользователей
- CVE-2018-16492 - низкий приоритет - Object.prototype pollution в JQuery $.extend - дыра присутствует в версиях 3.0.0-3.9.4 - метод JQuery $.extend позволяет инжектить (добавлять) произвольные параметры в объект прототипа
В целом нету ничего сильно пугающего, однако перестраховаться не помешает.
Кроме этого было добавлено более 20 улучшений и исправлений багов.
Список изменений джумла 3.9.5
- Пароли пользователей: добавлено правило минимального числа маленьких букв для валидации
- Вкладка ассоциаций: исправлено неправильное поведение индонезийского языка
- Отладка языка: пофикшено логирование пользовательских действий
- Новый язык инсталляции: казахский
- плагин авторизации Google (двухфакторной авторизации): внедрен генератор QR-кодов
Вот и все небольшие изменения очередного релиза
Проблемы при обновлении до Joomla 3.9.5
Не обошлось в данном релизе проблем с работоспособностью тех или иных функций.
Некоторые пользователи жалуются, что перестали работать некоторые кастомные поля. Для решения этой проблемы необходимо в параметрах переставить ползунок "Показать в" на значение "Оба".
Также многим пользователям не получается загрузить в медиа-менеджере файлы, получают ошибку:
Не удаётся загрузить файл.: undefined
unable to upload file.: undefined
Этот баг известен, однако пока официального решения нет.