Релиз MODX Revolution 2.8.1



Всем привет!

После выхода версии 2.8.0 вышла новая версия, которая исправляет многочисленные уязвимости в системе безопасности и ошибки выявленные в 2.8.0.

Основные моменты
Вы можете получить полный список изменений прочитав changelog. Ниже приведены некоторые из существенных изменений в этом выпуске.

Безопасность
Исправлены XSS уязвимости в имени группы ресурсов TV > разрешения доступа [#15280]
Исправлены XSS уязвимости в списке ресурсов TV [#15280]
прочие изменения
Исправлены флажки alias_visible/syncsite при переключении шаблонов [#15289]
Разрешено создание каталогов с именем равным «0» [#15296]
Исправлена кнопка входа в систему на мобильных устройствах [#15300]
Скрыта кнопка Обновить группу пользователей на вкладке пользователи при редактировании группы пользователей [#15290]
Регистрация информации о сеансе только в том случае, если сеанс инициализирован [#15292]
Исправлена JS TypeError ошибка, если изображение/файл TV не проходит проверку [#15282]
Добавлена системнуа настройка upload_check_exists [#15285]
Исправлена фатальная ошибка в типе ввода TV URL [#15279]
Исправлена фатальная ошибка при переходе в системную информацию [#15277]

Так же в версии 2.8.0 обновили:
— логотипы MODX
— xPDO до версии 2.8.1
— Smarty до версии 3.1.36
— phpThumb до версии 1.7.15
— PHPMailer до версии 5.2.28

Поэтому мы рекомендуем вам обновить его как можно скорее.

Релиз был бы невозможен без внимания и усилий наших участников сообщества, включая Jason Coward, Mark Hamstra, Ivan Bochkarev, Jan Peca, Carl Bohman, Ruslan-Aleev, sergant210, wfoojjaec и многих других.
Иван Бочкарев
23 октября 2020, 08:39
modx.pro
1
1 286
+24
Поблагодарить автора Отправить деньги

Комментарии: 19

Yar
Yar
23 октября 2020, 13:28
0
Спасибо! А как новая версия контачит с Tickets?
    Иван Бочкарев
    23 октября 2020, 13:28
    +1
    Не проверял. Если будут ошибки — пишите
      Yar
      Yar
      23 октября 2020, 13:30
      0
      Хорошо, не след неделе обновлюсь
    Павел Голубев
    24 октября 2020, 17:01
    0
    Обновился, всё отлично. Спасибо!
      Александр Мельник
      24 октября 2020, 18:17
      0
      Я вот понимаю, что навлеку на себя гнев и осуждения, но признаюсь. Не обновляю никогда modx. У меня под обслуживание около 40 проектов на modx и я уже не раз сталкивался, что обновление вызывает сбои. В 80 процентах случаев.
        Евгений Webinmd
        25 октября 2020, 23:54
        +1
        я бы посоветовал вам держать хотя бы на предпоследней версии, учитывая частоту выхода новых версий. А то можно получить приколюх с вирусами, как какое-то время назад
          Андрей Степаненко
          26 октября 2020, 13:59
          0
          Зачем?
            Евгений Webinmd
            26 октября 2020, 14:30
            0
            ну как минимум в этой версии есть несколько фиксов безопасности.
              Андрей Степаненко
              26 октября 2020, 14:36
              0
              Исправлены XSS уязвимости в имени группы ресурсов TV > разрешения доступа [#15280]
              Исправлены XSS уязвимости в списке ресурсов TV [#15280]
              прочие изменения
              Видимо вот эти.
              Думаю лучше вдумчиво разбираться что это за уязвимости и нужны ли они тебе в проекте.

              Все подряд ставить, отваливается будет частенько что ни будь. Александр правильно подметил об этом.
                Иван Бочкарев
                26 октября 2020, 15:44
                +1
                Всегда обновляю до последней версии. Если, что и отвалится создаю issue. Ни каких проблем не вижу.
                  Руслан Алеев
                  26 октября 2020, 20:05
                  0
                  Наверное все от проекта зависит.
                  У меня, на небольших проектах, ничего не отваливалось, а вот массовые взломы были, на 2.6.5 :)
          Ярослав
          27 октября 2020, 10:00
          0
          Если всегда вовремя обновляться, то проблемы сведены к минимуму, ну и взять за правило — всегда backup перед обновлением.
            Павел
            26 ноября 2020, 20:06
            0
            Здравствуйте. Вы пишите, что в релизе 2.8.1 есть обновления безопасности. Я обновил сайт до этой версии в начале ноября. Сегодня поддержка хостинга сказала, что с сайта идёт массовая рассылка спама. У себя на сервере я обнаружил много папок с непонятным содержимым, датированные 19 октября (релиз 2.8.1 вышел 22 октября). Может ли это быть связано с брешами в безопасности предыдущего релиза и где посоветуете искать проблему?
              Scorp Satex
              26 ноября 2020, 20:18
              0
              Плагины и php версию надо тоже обновлять.
              У меня ломали modx 2.7.3 — потому что стояла версия php 5.4, обновил до 7.2 — все прошло.
              Какая версия php у вас? Проверьте обновления плагинов, особенно Gallery.
                Павел
                26 ноября 2020, 20:43
                0
                Php у меня стоит 7.4, Gallery на сайте нет.
                Николай Савин
                27 ноября 2020, 08:55
                0
                Вполне себе запросто можно от соседних сайтов подхватить заразу
                  Павел
                  27 ноября 2020, 20:26
                  0
                  Сайт на сервере единственный. Нашёл источник рассылки — Sendex (кто-то постоянно подписывается на новости и по этой причине с сайта идёт рассылка по всевозможным адресам). Пришлось его пока временно отключить, буду разбираться как спамерскую подписку можно исключить.
                  Иван Бочкарев
                  27 ноября 2020, 08:58
                  0
                  Обновления безопасности в данном случае это исправленные XSS уязвимости, которые можно использовать при наличии доступа в админку.

                  Никаких уведомлений по случаям взлома 2.8.1 на данный момент не встречал ни в чате t.me/ru_modx, ни в Slack (международном чате MODX), ни в issue репозитория MODX.

                  У себя на сервере я обнаружил много папок с непонятным содержимым
                  — причин может быть масса: начиная от взлома соседних сайтов на данном сервере, хостинга и так далее.
                    Павел
                    27 ноября 2020, 20:28
                    0
                    Спасибо за ответ, проблема действительно была не в этом. С сайта шла рассылка сообщений с помощью Sendex.
                  Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
                  19