Релиз MODX Revolution 2.8.1

Всем привет!

После выхода версии 2.8.0 вышла новая версия, которая исправляет многочисленные уязвимости в системе безопасности и ошибки выявленные в 2.8.0.

Основные моменты
Вы можете получить полный список изменений прочитав changelog. Ниже приведены некоторые из существенных изменений в этом выпуске.

Безопасность
Исправлены XSS уязвимости в имени группы ресурсов TV > разрешения доступа [#15280]
Исправлены XSS уязвимости в списке ресурсов TV [#15280]
прочие изменения
Исправлены флажки alias_visible/syncsite при переключении шаблонов [#15289]
Разрешено создание каталогов с именем равным «0» [#15296]
Исправлена кнопка входа в систему на мобильных устройствах [#15300]
Скрыта кнопка Обновить группу пользователей на вкладке пользователи при редактировании группы пользователей [#15290]
Регистрация информации о сеансе только в том случае, если сеанс инициализирован [#15292]
Исправлена JS TypeError ошибка, если изображение/файл TV не проходит проверку [#15282]
Добавлена системнуа настройка upload_check_exists [#15285]
Исправлена фатальная ошибка в типе ввода TV URL [#15279]
Исправлена фатальная ошибка при переходе в системную информацию [#15277]

Так же в версии 2.8.0 обновили:
— логотипы MODX
— xPDO до версии 2.8.1
— Smarty до версии 3.1.36
— phpThumb до версии 1.7.15
— PHPMailer до версии 5.2.28

Поэтому мы рекомендуем вам обновить его как можно скорее.

Релиз был бы невозможен без внимания и усилий наших участников сообщества, включая Jason Coward, Mark Hamstra, Ivan Bochkarev, Jan Peca, Carl Bohman, Ruslan-Aleev, sergant210, wfoojjaec и многих других.

Иван Бочкарев

23 октября 2020, 08:39

3 883

+24

Поблагодарить автора Отправить деньги

Комментарии: 19

brioni

23 октября 2020, 13:28

Спасибо! А как новая версия контачит с Tickets?

Иван Бочкарев

23 октября 2020, 13:28

Не проверял. Если будут ошибки — пишите

brioni

23 октября 2020, 13:30

Хорошо, не след неделе обновлюсь

Павел Голубев

24 октября 2020, 17:01

Обновился, всё отлично. Спасибо!

Александр Мельник

24 октября 2020, 18:17

Я вот понимаю, что навлеку на себя гнев и осуждения, но признаюсь. Не обновляю никогда modx. У меня под обслуживание около 40 проектов на modx и я уже не раз сталкивался, что обновление вызывает сбои. В 80 процентах случаев.

Евгений Webinmd

25 октября 2020, 23:54

я бы посоветовал вам держать хотя бы на предпоследней версии, учитывая частоту выхода новых версий. А то можно получить приколюх с вирусами, как какое-то время назад

Андрей Степаненко

26 октября 2020, 13:59

Зачем?

Евгений Webinmd

26 октября 2020, 14:30

ну как минимум в этой версии есть несколько фиксов безопасности.

Андрей Степаненко

26 октября 2020, 14:36

Исправлены XSS уязвимости в имени группы ресурсов TV > разрешения доступа [#15280]
Исправлены XSS уязвимости в списке ресурсов TV [#15280]
прочие изменения

Видимо вот эти.
Думаю лучше вдумчиво разбираться что это за уязвимости и нужны ли они тебе в проекте.

Все подряд ставить, отваливается будет частенько что ни будь. Александр правильно подметил об этом.

Иван Бочкарев

26 октября 2020, 15:44

Всегда обновляю до последней версии. Если, что и отвалится создаю issue. Ни каких проблем не вижу.

Руслан Алеев

26 октября 2020, 20:05

Наверное все от проекта зависит.
У меня, на небольших проектах, ничего не отваливалось, а вот массовые взломы были, на 2.6.5 :)

Ярослав

27 октября 2020, 10:00

Если всегда вовремя обновляться, то проблемы сведены к минимуму, ну и взять за правило — всегда backup перед обновлением.

Павел

26 ноября 2020, 20:06

Здравствуйте. Вы пишите, что в релизе 2.8.1 есть обновления безопасности. Я обновил сайт до этой версии в начале ноября. Сегодня поддержка хостинга сказала, что с сайта идёт массовая рассылка спама. У себя на сервере я обнаружил много папок с непонятным содержимым, датированные 19 октября (релиз 2.8.1 вышел 22 октября). Может ли это быть связано с брешами в безопасности предыдущего релиза и где посоветуете искать проблему?

Scorp Satex

26 ноября 2020, 20:18

Плагины и php версию надо тоже обновлять.
У меня ломали modx 2.7.3 — потому что стояла версия php 5.4, обновил до 7.2 — все прошло.
Какая версия php у вас? Проверьте обновления плагинов, особенно Gallery.

Павел

26 ноября 2020, 20:43

Php у меня стоит 7.4, Gallery на сайте нет.

Николай Савин

27 ноября 2020, 08:55

Вполне себе запросто можно от соседних сайтов подхватить заразу

Павел

27 ноября 2020, 20:26

Сайт на сервере единственный. Нашёл источник рассылки — Sendex (кто-то постоянно подписывается на новости и по этой причине с сайта идёт рассылка по всевозможным адресам). Пришлось его пока временно отключить, буду разбираться как спамерскую подписку можно исключить.

Иван Бочкарев

27 ноября 2020, 08:58

Обновления безопасности в данном случае это исправленные XSS уязвимости, которые можно использовать при наличии доступа в админку.

Никаких уведомлений по случаям взлома 2.8.1 на данный момент не встречал ни в чате t.me/ru_modx, ни в Slack (международном чате MODX), ни в issue репозитория MODX.