Пока страна празднует столетие Октябрьской революции, портал Joomla выпустила очередное обновление - были закрыты 3 небольших уязвимости и различные баги предыдущих версий. Обнаруженные дыры распространяются вплоть до неподдерживаемых джумл 1.5 и 2.5 - очередной повод задуматься над миграцией на последний релиз. Установка обновления для Joomla 3.x как всегда происходит в один клик, не забывайте сначала обновить сторонние расширения, а потом уже запускать обновление джумлы.
Рекомендуется незамедлительно обновиться всем сайтам на джумла, не забывайте делать резервную копию перед началом процесса. Рассмотрим более детально список изменений новой версии
Что нового в Joomla 3.8.2
В обновлении функциональности Joomla 3.8 была исправлена уязвимость с авторизацией в LDAP. Однако этого оказалось недостаточно и была найдена ещё одна брешь. Итак, полный список закрытых уязвимостей:
- CVE-2017-14596 - Раскрытие информации - средний приоритет - подвержены джумлы от 1.5 до 3.8.1 - недостаточная фильтрация в плагине аутентификации LDAP давала возможность хакерам получить логин или пароль
- CVE-2017-16634 - Обход двухфакторной авторизации - средний приоритет - уязвимы Joomla 3.2.0-3.8.0 - баг позволял третьей стороне обойти проверку двухфакторной аутентификации
- CVE-2017-16633 - Раскрытие информации - низкий приоритет - найдено в версиях от 3.7.0 до 3.8.1 - логическое упущение в компоненте полей делал доступной для чтения информацию сторонним пользователям
Несмотря на то, что большинство пользователей не используют LDAP и двухфакторную авторизацию, а значит данные уязвимости их не затрагивают - это не повод расслабляться и оставаться на старых версиях. Как показывает практика, чем больше версий между последним апдейтом, тем выше риск, что при обновлении сайт перестанет работать из-за несовместимости или версии PHP или какого-то расширения. Чтобы оперативно решать такие проблемы обновляйтесь вовремя и сразу, не затягивайте с установкой релизов.
Список багов, исправленных в джумла 3.8.2
- Отображение подкатегорий в блоге только когда пользователь имеет доступ
- Теги удалялись при пакетной обработке либо при перетаскивании мышкой
- Модуль поиска не отображался при выдаче страницы ошибки
- Удалена ненужная рекурсивная проверка доступа к файловой системе в кастомных полях
- Исправлен вывод материалов из подкатегории в админке для менеджера при выборе категории в фильтре
- и множество других багов
Решение проблем при обновлении до джумла 3.8.2
Однако не у всех пользователей обновление происходит удачно либо гладко. Чтобы минимизировать потери, обязательно обновите сторонние расширения, а потом уже саму джумлу? Почему не наоборот? Потому что при неудачной инсталляции патча Вы не сможете попасть в административную панель, чтобы исправить проблему - ошибки 500 являются нередким результатом неудачного обновления. Если Вы получили такую ошибку, то включите максимальное отображение ошибок (в файле configuration.php для error_reporting выставить значение development). Просмотрите какой плагин или компонент нарушает работу сайта и отключите его через базу данных или переименуйте папку. После этого свяжитесь с разработчиками данного расширения, чтобы они исправили ошибку и выпустили обновление.
До сих пор многие хостинги испытывают проблемы с автоматическим обновлением с серверов джумлы из-за блокировки Роскомнадзора. Неизвестно когда ситуация разрешится, но тут есть два пути решения:
- Обновиться вручную, скачав дистрибутив с GitHub либо в обход блокировки
- Указать пользовательский сервер обновления, где будет размещаться актуальная версия
Удачных всем обновлений!