Новая версия джумлы закрывает две найденные уязвимости и чинит более 50 багов. Обновление доступно по воздуху, а также к скачиванию на официальном сайте. Рекомендуется всем владельцам 3.х Joomla обновиться до последней актуальной версии, не забывайте создавать резервную копию перед установкой патча!
Как было известно предыдущая версия Joomla 3.7.3 вышла достаточно нестабильной и с кучей недостатков. Часть из них были исправлены в выпущенном обновлении, однако некоторые баги перекочевали и остались неисправленными. В частности, многие пользователи воспроизводят уязвимость с неправильным разлогиниванием - так называемый баг сессий. Будем надеяться, что в следующих версиях этот недочет будет полностью реализован.
Что нового в Joomla 3.7.4
Как было заявлено, последняя версия джумлы закрывает 2 уязвимости. Однако команда разработчиков не особо торопилось с выпуском исправлений (уязвимости были обнаружены ещё в апреле месяце!) - на самом деле уязвимости малопрактичны и неприменимы для хакеров. Одна дыра кроется в установщике джумлы и уже не реализуется на установленных сайтах, следовательно, рабочие сайты не пригодны для атаки, а ещё не инсталлированный сайт мало кому интересен. Вторая уязвимость межсайтового скриптинга носит низкий приоритет, а значит необходим целый ряд факторов для её реализации (скорее всего как минимум административные права).
Уязвимости, исправленные в джумла 3.7.4
Релиз безопасности залатал следующие дыры:
- CVE-2017-11364 - уязвимость ядра инсталлятора - уязвимы джумлы с версии 1.0.0 до 3.7.3 - отсутствие проверки прав владельца давало возможность получить доступ к управлению.
- CVE-2017-11612 - дыра XSS в ядре - подвержены Joomla 1.5.0-3.7.3 - плохая фильтрация опасных HTML тегов могла привести к XSS в различных компонентах.
Хотя уязвимости и низкого приоритета, но всё же не стоит тянуть с обновлением, ведь упор был сделан на исправление функциональности!
Список исправленных багов Joomla 3.7.4
Полный changelog можно глянуть как всегда на гите, ниже приведу лишь основные моменты:
- Исправлена фатальная ошибка PHP 5.3 и мультиязычности
- Пофикшено сообщение после установки: неправильно определялась версия пхп
- мультиязычные теги (com_tags) отдавали неправильные языковые куки (cookies)
- не отображался адрес в компоненте контактов (com_contact)
Обновляемся и ждем выхода новой джумлы 3.8!
Update: в новой реализации инсталлятора возникли проблемы с установкой на сервера с базой данных, отличным от localhost. При этом возникала ошибка:
"Warning ; You are trying to use a database host which is not on your local server. For security reasons, you need to verify the ownership of your web hosting account. Please read the documentation for more information"
С более подробным описанием выглядит так:
"If you want to install 3.7.4 and want to use a remote database server we require you to delete a file in the installation folder that was randomly created by the installer. As this filename is unique to your session we are sure you just deleted the file and we can finish installing as normal.
A special case is the “FTP mode”. In that case Joomla is not able to create files. So we require you to create a file in the installation folder in order to confirm that you are the website owner.
In both cases, the file name will be displayed in a message on your screen with instructions on how to validate the installation."
И требовало загрузить файл подтверждения. Как вариант было устанавливать предыдущую версию Joomla 3.7.3 - а потом обновиться. На текущий момент вышло обновление Joomla 3.7.5, которое исправляет данную проблему. Отдельный материал ради одного этого бага создавать излишне, поэтому информация совмещена.