Срочные исправления безопасности в MODX 2.5.2
Привет, друзья! У меня для вас отличная новость!
Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.
и несколько других, не касающихся безопасности, изменений, которые вы можете увидеть в changelog.
В первую очередь за улучшения безопасности нужно благодарить Евгения Борисова и Николая Ланец. Надеюсь, что практика быстрого выпуска исправлений безопасности продолжится и впредь.
Обновление уже доступно для загрузки с официального сайта и обновления на modhost.pro
Лично я уже обновил все сайты (включая магазин и панель управления хостингом), чем и вам рекомендую заняться прямо сейчас!
P.S. Обратите внимание, что из-за многочисленных изменений некоторые дополнения могут работать некорректно. Я уже выпустил новые версии pdoTools, ms2Gallery, miniShop2 и Uploadify.
Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.
- Скрыты критичные системные настройки [#13170]
- Запрет возможности локального подключения файлов (LFE) [#13177]
- Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
- Запрет неавторизованного доступа к процессорам [#13175]
- Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]
- Запрет слепой SQL инъекции при получении xPDOObject [подробности]
и несколько других, не касающихся безопасности, изменений, которые вы можете увидеть в changelog.
В первую очередь за улучшения безопасности нужно благодарить Евгения Борисова и Николая Ланец. Надеюсь, что практика быстрого выпуска исправлений безопасности продолжится и впредь.
Обновление уже доступно для загрузки с официального сайта и обновления на modhost.pro
Лично я уже обновил все сайты (включая магазин и панель управления хостингом), чем и вам рекомендую заняться прямо сейчас!
P.S. Обратите внимание, что из-за многочисленных изменений некоторые дополнения могут работать некорректно. Я уже выпустил новые версии pdoTools, ms2Gallery, miniShop2 и Uploadify.
15 ноября 2016, 03:19
Комментарии: 90
В первую очередь за улучшения безопасности нужно благодарить Евгения Борисова и Николая Ланеца. Надеюсь, что практика быстрого выпуска исправлений безопасности продолжится и впредь.А я надеюсь, что будет чуть больше культуры в общении как здесь, так и за пределами. А то из списка как минимум мое это:
Скрыты критичные системные настройки [#13170]
Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
Запрет неавторизованного доступа к процессорам [#13175]
Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]Плюс довольно объемное общение с MODX team в личке. А в ответ получаешь такое.
Так-то пофиг, а так-то вообще не располагает. С учетом того, что Женя жаловался, что его за его же труды не поблагодарили (как минимум), особенно странно видеть такое поведение с его стороны. Постараюсь больше Жени не касаться вообще никаким боком.
Справедливости ради, кабы Николай не поднял эту волну, так и сидели бы ровно за «стеклянной дверью». Да и тебе профит вон какой прилетел. :) И ребят из MODX попинали. 2 года назад ты один их не смог растолкать. А щас толпой навалились и результат почти мгновенный. Даже Марк по-русски заговорил :)) Прогресс на лицо. )
Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]Может через пару месяцев напишешь про то, как это можно было сделать? Интересно. Ведь даже авторы MODX не сообразили.
Запрет неавторизованного доступа к процессорам [#13175]
Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]
Лично я уже обновил все сайты (включая магазин и панель управления хостингом)То-то сегодня утром тут в сообществе последние записи были 2012-го года )))
В первую очередь за улучшения безопасности нужно благодарить Евгения Борисова и Николая Ланеца.Ну да, себя же неудобно благодарить, хотя и ты внёс очень большой вклад в эту волну, спасибо и тебе!
Очень радостная новость, спасибо за ваши старания!
Привет. В этом обновлении решили проблему с уязвимостью, которая была описана тут modx.pro/security/10345-blind-sql-xpdo/? Если да, то классно!
Кстати, «looks like this» значит «похоже на это», т.е. на что-то конкретное. Если ты имел ввиду «Выглядят похоже», то правильнее сказать «comments look similar». Если «Похожи как 2 капли воды» — look the same.
Помню это ещё со школы. А сейчас могу сто раз пытаться запомнить какое-нибудь слово, на следующий день и не вспомню. :(
П.С. Ну и окончание -s используются только для 3-го лица в единственном числе. Comment looks, comments look. ))
Помню это ещё со школы. А сейчас могу сто раз пытаться запомнить какое-нибудь слово, на следующий день и не вспомню. :(
П.С. Ну и окончание -s используются только для 3-го лица в единственном числе. Comment looks, comments look. ))
Это из-за этого. Можно закомментировать пока не исправят. Не думаю, что это повлияет на безопасность.
Если нужно, чтобы эта опция снова заработала до нового релиза, то необходимые исправления можно посмотреть тут. Всего одна строчка :)
Или ждать нового релиза, исправление уже добавили в новую ветку.
Или ждать нового релиза, исправление уже добавили в новую ветку.
Хочу обновить сайт с помощью приложения UpdateModx.
Когда выбираю последнюю версию, и нажимаю обновить, на странице выводится такое сообщение:
../modx.zip is empty — download failed
В чем может причина и как можно решить, подскажите?
P.S Когда первый раз устанавливала Modx revo, использовала версию Advanced для установки.
Когда выбираю последнюю версию, и нажимаю обновить, на странице выводится такое сообщение:
../modx.zip is empty — download failed
В чем может причина и как можно решить, подскажите?
P.S Когда первый раз устанавливала Modx revo, использовала версию Advanced для установки.
Потому что дядя Зенит не дал ничего, кроме самого факта возможности подбора префикса.
Дяде Васе пришлось самому выискивать уязвимые места в логах, читать теорию и проверять её на практике. А потом доказывать, насколько это опасно дяде Джейсону и дяде Марку при помощи дяди Жени, который написал реальный пример использования уязвимости.
Ну и код для закрытия уязвимости тоже написал дядя Вася.
Так что про дядю Зенита никто в MODX не слышал, зато его благодарим мы, всем сообществом.
Дяде Васе пришлось самому выискивать уязвимые места в логах, читать теорию и проверять её на практике. А потом доказывать, насколько это опасно дяде Джейсону и дяде Марку при помощи дяди Жени, который написал реальный пример использования уязвимости.
Ну и код для закрытия уязвимости тоже написал дядя Вася.
Так что про дядю Зенита никто в MODX не слышал, зато его благодарим мы, всем сообществом.
Я благодарен всем, кто способствовал в получении этих уязвимостей фиксированных. Если официальный анонс должен получить другое имя добавил, что мы пропустили, пожалуйста, дайте мне знать, и я постараюсь, чтобы заставить кого-то обновить, что.
///---///
I'm thankful to everyone that contributed into getting these vulnerabilities fixed. If the official announcement should get another name added that we missed, please let me know and I'll try to get someone to update that.
///---///
I'm thankful to everyone that contributed into getting these vulnerabilities fixed. If the official announcement should get another name added that we missed, please let me know and I'll try to get someone to update that.
Ну так купи ему пива, в чём проблема-то?
Или я должен написать ему любовное письма и поблагодарить за то, что он взломал мой сайт, вместо подробного объяснения самого алгоритма взлома?
Еще раз: я всё это выяснял самостоятельно, консультировал меня Евгений Борисов. Правоту Зенита я признал и выразил своё восхищение его навыками (но не манерами). Ни строчки кода в новую версию MODX он не прислал.
Твоё беспокойство судьбой Зенита лично я понять не могу. Среди меня бытует мнение, что он может постоять за себя самостоятельно, без публичных адвокатов.
Или я должен написать ему любовное письма и поблагодарить за то, что он взломал мой сайт, вместо подробного объяснения самого алгоритма взлома?
Еще раз: я всё это выяснял самостоятельно, консультировал меня Евгений Борисов. Правоту Зенита я признал и выразил своё восхищение его навыками (но не манерами). Ни строчки кода в новую версию MODX он не прислал.
Твоё беспокойство судьбой Зенита лично я понять не могу. Среди меня бытует мнение, что он может постоять за себя самостоятельно, без публичных адвокатов.
xD Увы, но скорость деградирования нашего населения поражает. После нескольких лет работы в интернет магазине, я это испытал на себе (общение с клиентами). Теперь, когда заказчики спрашивают «Как сделать?» я им отвечаю «Как Вы бы сделали для умственно-отсталых детей?».
Это и правда печально.
Это и правда печально.
я про другое имел ввиду «надменное» поведение.
Не однократно на мои ответы (пусть дублирующие) была такая реакция.
Но раз минус, значит минус.
Я видел эту тему (с зенон) и видел всю надменность людей, высказал своё недовольство. Но всё решили, всё поправили.
Проще надо быть и люди потянутся.
Не однократно на мои ответы (пусть дублирующие) была такая реакция.
Но раз минус, значит минус.
Я видел эту тему (с зенон) и видел всю надменность людей, высказал своё недовольство. Но всё решили, всё поправили.
Проще надо быть и люди потянутся.
Если нужно, чтобы эта опция снова заработала до нового релиза, то необходимые исправления можно посмотреть тут. Всего одна строчка :)
Или ждать нового релиза, исправление уже добавили в новую ветку.
Или ждать нового релиза, исправление уже добавили в новую ветку.
Огромное спасибо всем, кто обнаружил, доказал важность и любым способом повлиял на устранение брешей в безопасности! И, если это имеет хоть какое то значение, Евгений и Николай, пожалуйста, не ссорьтесь. В результате вы сработали как единая команда. Каждый отвечал за свой участок работ и результат достигнут. Спасибо!
Вообще, с этим обновлением связаны не только фиксы безопасности, но и серьезная деградация метода sortby(). Теперь не получится выполнить типа sortby («1, 2 ASC, modxResource.id») или типа того. Комментарий. Конечно, мало это кого затронет, но ограничения есть. Надо будет дорабатывать этот метод.
А нет, погорячился. Они прислушались ко мнению и в итоге не стали жестко эскейпить название колонки (первый вариант был такой), а просто стали проверять на валидность. Но и здесь, кстати, тоже курьез есть :) Теперь нельзя использовать названия колонок, содержащих слово union. К примеру, вот такой вариант приведет к ошибке: $q->sortby(«unionition»);
SQL injection attempt detected in sortby column; clause rejected
Обновился спасибо!
Но получил кучу проблем… пока с ходу кажется что это pdotools
У меня уходит вся память и сервер в 504 и тп после обновления, через 2 минуты после запуска.
Происходит переполнение памяти на боевом сервере (не заметно если тестировать локально, тк нет нагрузки)
Вычислил что так происходит если вызвать внутри pdoResources, еще раз например pdoResources
и это вроде для любого компонента на pdotools
Ни кто не замечал?
Но получил кучу проблем… пока с ходу кажется что это pdotools
У меня уходит вся память и сервер в 504 и тп после обновления, через 2 минуты после запуска.
Происходит переполнение памяти на боевом сервере (не заметно если тестировать локально, тк нет нагрузки)
Вычислил что так происходит если вызвать внутри pdoResources, еще раз например pdoResources
и это вроде для любого компонента на pdotools
Ни кто не замечал?
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
Это сообщение было удалено
После данного обновления в Управлении Пакетами при Просмотре деталей перестала отображаться «Загруженная версия». В error.log пишется ошибка «You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'ASC, modTransportPackage.release_index DESC LIMIT 20' at line 1».
Проблема в том, что в данном обновлении в методе sortby из xpdoquery.class.php стал обязательным второй аргумент и старый код обрабатывающий пакеты перестал работать. Если кому-то нужно, чтобы эта опция заработала до нового релиза, то необходимые исправления можно посмотреть тут. Всего одна строчка :)
Проблема в том, что в данном обновлении в методе sortby из xpdoquery.class.php стал обязательным второй аргумент и старый код обрабатывающий пакеты перестал работать. Если кому-то нужно, чтобы эта опция заработала до нового релиза, то необходимые исправления можно посмотреть тут. Всего одна строчка :)
Всем привет.
Еще кое-какая мелкая проблемка:
Но при этом есть косяк с обработкой THEN. Что посоветуете? Может быть есть кто-то повыше квалификацией и сможет объяснить, профиксить. Спасибо!
Еще кое-какая мелкая проблемка:
[[!+modx.user.id:memberof=`Administrator`:then=`Пользователь авторизирован. Имеет группу Администратор`]][[!+modx.user.id:memberof=`Administrator`]]Но при этом есть косяк с обработкой THEN. Что посоветуете? Может быть есть кто-то повыше квалификацией и сможет объяснить, профиксить. Спасибо!
феном вместо модификаторов, это и лучше и функциональнее
PS и в доках пора столбец с феномом в модификаторах завести
{if $_modx->user.id == 1} *** {/if}PS и в доках пора столбец с феномом в модификаторах завести
Так есть модификатор memberof (ismember) для проверки принадлежности к группе. Текущий проверяется так:
{if (0 | memberof : 'Administrator')}
Пользователь является администратором
{else}
Пользователь не является администратором
{/if}
В последнее время у меня перестал работать этот модификатор фенома (и все его синонимы во всех вариантах), правда только на одном из моих сайтов. Уже хотел поднимать тревогу, но нашел обходной рабочий вариант:
{if $_modx->isMember('Users')}
Для юзеров
{else}
Для всех остальных
{/if}
Primary group — это основная группа пользователя. Это группа, в которую пользователь был добавлен раньше всего (или та, которая расположена выше остальных) в списке групп пользователя. Так вот, если у тебя пользователь в нескольких группах, а тебе надо узнать, состоит ли он в той, которая не записана в свойство primary_group, то твоим способом ты этого не узнаешь. Поэтому правильнее всего проверять именно так:
{if $_modx->isMember('Administrator')}{if (0 | memberof : 'Administrator')}
Просто гость (или подставляемый 0) видел защищённый контент любой группы (Manager, Administrator). До каких-то пор работало исправно, потом перестало.
Я заметил за всё время пользования феномом уже у нескольких модификаторов такие глюки — не работают как должны, зато их более длинный вариант через $_modx работает как надо…
Я заметил за всё время пользования феномом уже у нескольких модификаторов такие глюки — не работают как должны, зато их более длинный вариант через $_modx работает как надо…
Я уже писал об этом. Это, видимо, теперь нормальное поведение для modx, после обновления до 2.5.2
Не знаю, совпадение это или нет. Но через какое-то время после появления этой новости modx.pro/security/10266-critical-vulnerability-in-modx-revolution/ у меня взломали два сайта. Оба на модхосте. Последствия этого взлома описаны тут searchengines.guru/showthread.php?t=951958
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| pdoTools | 2.13.2-pl от 02.09.2021 | 54 170 |
| ms2Gallery | 2.0.12-pl от 25.09.2020 | 4 575 |
| miniShop2 | 4.4.0-pl от 06.08.2024 | 26 100 |
| Uploadify | 1.3.1-pl от 15.11.2016 | 491 |
20 ноября 2024, 16:25
В сниппете rcv3_html достаточно отложить загрузку через setTimeout (хотя кто-то делает через onClick). Не думаю что мой вариант самый правильный и что...
19 ноября 2024, 10:51
Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права»
<?php
/**
* Системное событие OnMan...
19 ноября 2024, 09:09
Спасибо, тоже очень интерестное решение.
18 ноября 2024, 15:21
'where' => [
'Data.price:!='=>'0'
]
18 ноября 2024, 14:19
miniShop2.Order.add('extfld_delivery_price','100', function() {
miniShop2.Order.getcost();
})
Это вот работает, но чтобы увид...
18 ноября 2024, 10:11
Благодарю за ответы.
16 ноября 2024, 21:12
Спасибо. Работает.
