Релиз MODX 2.8.2. Настоятельно рекомендую обновиться



Команда разработчиков и интеграторов MODX рада представить новую версию – MODX Revolution 2.8.2. В этой версии добавлена поддержка PHP 8, исправлены баги и закрыто несколько важных уязвимостей.
Полный список изменений доступен в changelog, ниже перечислены лишь самые значительные изменения.

Подробности внутри заметки.



Безопасность


  • Предотвратить доступ к важным данным пользователя (хешированный пароль, соль, ID сессии и прочее)
  • Добавить больше разрешений, чтобы обеспечить доступ к определенным типам ресурсов
  • Преобразование вложенных параметров лексиконов в плоский формат через точку
  • Ограничить статические ресурсы с помощью предопределенного пути в настройках
  • Предотвратить XSSI доступ к MODx.config с помощью запроса токена

Другие изменения


  • Совместимость с PHP 8
  • Исправить проверку названий плагинов и шаблонов
  • Поддержка атрибута SameSite в сессионных cookies
  • Исправить ошибку со специальными символами в именах файлов или папок
  • Обновить PHPMailer до версии 6.4.0
  • Обновить xPDO до версии 2.8.3-pl
  • Обновить Smarty до версии 3.1.39

Безопасность – это привычка


Быть в курсе новых выпусков – хорошая привычка следить за безопасностью ваших сайтов на MODX. Проблемы безопасности, решенные в этой версии, затрагивают пользователей, у которых есть действующий доступ к админке MODX. Несколько проблем позволяли вносить изменения или получать доступ за пределами данных разрешений пользователям админки. Поэтому мы рекомендуем вам как можно скорее обновить ваши сайты.

Особые примечания по обновлению до 2.8.2


Некоторые улучшения безопасности в 2.8.2 могут повлиять на определенные конфигурации сайтов. Ознакомьтесь с этими изменениями и о том, как внести соответствующие правки при обновлении до 2.8.2 (пока на английском, но позже будет ссылка на перевод).

Всей деревней…


Релиз не случился бы без внимания и усилий ребят нашего сообщества, включая Mark Hamstra, Jason Coward, Thomas Jakobi, @Иван Бочкарев, @Иван Климчук, @Руслан Алеев, @Сергей Шлоков, Raffy, Bruno17, wfoojjaec, и многие другие. Донаты за вклад можно закинуть через профили, кнопка “Отправить деньги”.
Иван Климчук
29 апреля 2021, 00:12
modx.pro
1 245
+24
Поблагодарить автора Отправить деньги

Комментарии: 18

Иван Бочкарев
29 апреля 2021, 00:39
+3
Спасибо за анонс!
    Sem
    Sem
    29 апреля 2021, 10:07
    0
    Поставил потестить — встала на php 8.0.1 и на mysql 8 — Это уже радует)
    Но в консоли куча варнингов и они там постоянно сыплются, хотя настройка записи в журнал лога стоит — 1
      Иван Бочкарев
      29 апреля 2021, 10:08
      0
      Ответ Марка на такой же вопрос в Slack:

      Mark Hamstra 07:05
      If you just upgraded to PHP8, then yes, a lot of those things were previously notices (typically ignored) and now warnings (more often visible or logged). Disabling display_errors may help, or tweaking the error_reporting level
        Sem
        Sem
        29 апреля 2021, 10:14
        0
        ок, спасибо, всё понял)
      Егор
      30 апреля 2021, 05:35
      0
      а почему на модхосте до сих пор нет?
        W.H.I.T.E
        30 апреля 2021, 10:00
        0
        Отличный вопрос…
          Иван Климчук
          30 апреля 2021, 10:22
          +2
          В скором времени ожидается 2.8.3, так как нашелся один неприятный баг. Поэтому не спешите :)
            Сергей Шлоков
            01 мая 2021, 08:08
            +3
            Насколько я помню, на modhost последовательная цепочка обновления. Т.е. нельзя перепрыгнуть через версию. Поэтому 2.8.2 по-любому придётся добавлять, чтобы обновиться на 2.8.3. А обновиться на 2.8.2 я очень советую по причине безопасности.
              Александр Наумов
              01 мая 2021, 13:50
              0
              Хотел сейчас обновить версию 2.8.1 на modhost, modhost новых версий для обновления пока не предлагает.
                Сергей Шлоков
                01 мая 2021, 16:13
                +5
                Видимо на modhost потихоньку забивают. Я бэкапы не могу скачать. А обновиться можно и старым способом — через setup.
          Диман
          06 мая 2021, 08:29
          +1
          Ошибки
          xPDOAPCCache[context_settings]: Error creating APC cache provider; xPDOAPCCache requires the APC extension for PHP, version 2.0.0 or later.

          Версия

          php8, подскажите что тут не так, может не стОит обновляться?
          Murashkin
          11 мая 2021, 11:11
          0
          После обновления перестал работать диспетчер файлов: невозможно загрузить фото, документы через редакторы. ПРобовал 2 редактора — везде пустой попап.
          Евгений Лазарев
          13 мая 2021, 13:04
          0
          Всем привет. Обнаружил ошибку работы данной версии с CKEditor — не работает прикрепление изображения -> выбор на сервере. Открывается пустое окно не показывающее файловую систему для поиска файла. В ошибках доступ запрещен. Сначала подумал на баг, но Слава Богу нашелся сайт с версией 2.8.1 в котором все работало. Провел обновление этого сайта — результат пустое окно.
            Андрей
            13 мая 2021, 13:32
            0
            Попробуй применить фикс по ссылке в моём комментарии выше.
          Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
          18