RUNCMS 2.2.3.0 DEV

[LARK]

Готовится к выпуску новая версия RUNCMS - 2.2.3.0. В основном это добавление исправлений и дополнений накопившихся за последние несколько лет.

Скачать DEV версию RUNCMS 2.2.3.0, можно по следующей ссылке: RUNCMS 2.2.3.0 >>> (обратите внимание, что это не релизная версия)

В этой версии исправлено более 20 уязвимостей, исправлено большое количество ошибок. Добавлено около 20 новых возможностей, в основном, связанных с дополнительной безопасностью системы. Добавлена совместимость с PHP 5.4

Полный список изменений:

Цитата:

* [Sec] Исправление SQL инъекции в модуле /partners/ - незащищенная переменная $id в /modules/partners/index.php (SecurityFocus BugTraq ID 47388) * [Sec] Исправление SQL инъекции в /register.php — незащищенная переменная $timezone_offset (SecurityFocus BugTraq ID 46342) * [Sec] Исправление SQL инъекции и XSS уязвимости в /modules/forum/topicmanager.php незащищенные переменные $topic_id, $forum, $post_id, $newforum (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/forum/post.php — незащищенные переменные $topic_id и $forum (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/forum/search.php — незащищенная переменная $forum (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/forum/class/class.forumtable.php — незащищенная переменная $last_visit (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/pm/index.php и /modules/pm/pmsend.php — незащищенные переменные $sort и $by (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/banners/index.php — незащищенные переменные $bid, $cid, $url (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/links/viewcat.php — незащищенная переменная $orderby (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/galleri/carte.php — незащищенная переменная $key (Secunia Advisory SA43542) * [Sec] Исправление SQL инъекции в /modules/galleri/index.php — незащищенная переменная $orderby (Secunia Advisory SA43542) * [Sec] Исправление XSS уязвимости в /user.php - отсутствие проверки данных из cookie (OSVDB-ID 72840) * [Sec] Исправление потенциальной Full Path Disclosure (FPD) уязвимости в /include/registerform.php (OSVDB-ID 72848) * [Sec] Исправление Upload Shell уязвимости в /modules/galleri/uploaduser.php (OSVDB-ID 71309) (Secunia Advisory SA43542) * [Sec] Исправление Cross-site request forgery (CSRF) уязвимости в модуле /news/ - незащищенная форма добавления новости (OSVDB-ID 71310) * [Sec] Исправление Upload Shell уязвимости в админ-панели модуля /downloads/ - незащищенные переменные $accepted_files и $shot_accepted_files * [Sec] Исправление уязвимости, допускающей, при некоторых обстоятельствах, несрабатывание встроенного фильтра от SQL инъекций — отсутствие остановки работы PHP скрипта после обнаружения SQL инъекции. * [Sec] Исправление Cross-site request forgery (CSRF) уязвимости в форме регистрации — /include/registerform.php # [Fix] Исправление ошибки двойной очистки текста (экранирования кавычек и т.д.) в /galleri/uploaduser.php и в /galleri/include/admin_edit_img.php # [Fix] Исправление ошибки в файле /galleri/sql/mysql.sql - некорректная запись типа date timestamp для таблицы galli_category # [Fix] Исправление ошибка синтаксиса при добавлении содержания переменной $description в базу данных в модуле /downloads/ # [Fix] Исправление ошибки отображения HP/MP/EXP в модуле /forum/ - /forum/class/class.forumposts.php # [Fix] Добавление стандартного CSS стиля для поля captcha в /contact/include/contactform.php # [Fix] Исправление ошибки в /class/rcxmailer.php - замена $rcxConfig['sleeptime'] на $rcxConfig['send_pause'] (фикс от ZlydenGL) # [Fix] Исправление ошибки в /class/rcxmailer.php - в методах RcxMailer::setToGroups() и RcxMailer::setToUsers() - отсутствие проверки параметра на объект. # [Fix] Исправление в /class/class_sql_inject.php. Удаление cmd из фильтра SQL инъекции # [Fix] Исправление ошибки в методе RcxObject::cleanVars() - отсутствие проверки является ли переменная $v['value'] строкой # [Fix] Исправление ошибки в методе RcxBlock::getAllBlocksByGroup() - отсутствие DISTINCT в SQL запросе # [Fix] Исправление ошибки синтаксиса в /modules/system/admin/disclaimer/language/english/modinfo.php # [Fix] Исправление ошибки в мета-генераторе (meta-generator), которая возникала при удалении всех «желательных» или «нежелательных» слов. # [Fix] Исправление ошибки, возникающей при добавлении и удалении пользователей в группы в админ-панели (отсутствие в форме анти-CSRF токена) # [Fix] Исправление ошибки, возникающей при постраничной навигации на странице списка пользователей в админ-панели (добавлена регенерация анти-CSRF токена) # [Fix] Исправление ошибки вывода пустого заголовка формы в классе RcxThemeForm # [Fix] Исправление ошибки в классе /class/xml-rss.php — отсутствие корректной обработки переменной $description в методе xml_rss::build(), некорректная "очистка" текста в методе xml_rss::cleanup() # [Fix] Добавлены отсутствующие смайлики # [Fix] Закрыт доступ к форме регистрации авторизованным пользователям + [Feature] Добавление текстовой капчи (проверочный вопрос) в форму регистрации нового пользователя (опционально). + [Feature] Добавление сокрытия (через редирект) внешних ссылок размещенных на сайте (опционально). ! [Note] Только для ссылок размещенных посредством BB–кода и для внешней ссылки на сайт пользователя, которую он указал в профиле (ссылка будет показана в разделе информации о пользователе в комментариях, на форуме, и на странице пользователя). + [Feature] Добавлена возможность вносить сайты в "белый список", на которые редирект (сокрытие внешних ссылок) ставиться не будет. + [Feature] Добавлена возможность опционально включать/отключать автоматическое преобразование URL, для всего сайта ! [Note] В RUNCMS при обработке текста производится автоматическое преобразование URL и почтовых адресов в HTML ссылку. Причем это действует и тогда, когда HTML запрещен (а разрешен, например, BB-код). Соответственно этим пользуются спамеры. Данная возможность позволяет исправить эту проблему + [Feature] Добавлена отдельная авторизация для администраторов сайта (опционально). ! [Note] Отличие авторизации для администратора: 1) Используются только PHP сессии. 2) Авторизация длится только 20 минут 3) При формировании хэша авторизации используются IP и USER_AGENT администратора 5) Форма авторизации защищена капчей (опционально) + [Feature] Добавлена возможность отсылать на e-mail администратора оповещения о входах в панель администрирования (опционально) + [Feature] Добавлена защита от подбора пароля при авторизации ! [Note] Опционально можно указывать: 1) Количество неудачных попыток входа. 2) Время (в мин.), на которое, будет заблокирован IP посетителя 3) Отсылать на e-mail администратора оповещения о попытке подбора пароля. + [Feature] Добавлена защита от кликджекинга (опционально) + [Feature] Добавлена возможность включить встроенную в браузер защиту от XSS-атак ! [Note] Только для Internet Explorer 8 и выше + [Feature] Добавлена возможность отключить MIME сниффинг в браузере ! [Note] только для Internet Explorer 8 и выше + [Feature] Добавлена возможность установить доступ к cookies аутентификации только через HTTP протокол. + [Feature] Добавлена возможность запретить использовать идентификатор PHP сессии в URL + [Feature] Добавлена возможность включить смену идентификатора PHP сессии и указать время жизни идентификатора сессии. + [Feature] Добавлена возможность отключить BB-код в подписи пользователя + [Feature] Добавлена возможность запретить доступ незарегистрированным посетителям к профилям пользователей + [Feature] Добавлена возможность глобально отключить смайлики для всего портала + [Feature] Добавлен новые CSS классы для системных сообщений (notification) / http://www.paulund.co.uk / + [Feature] Добавлена возможность устанавливать свою кодировку соединения с сервером базы данных (SET NAMES) ^ [Change] Добавлена поддержка PHP 5.4 ^ [Change] Библиотека KCAPTCHA 1.0 заменена на KCAPTCHA 2.0 (http://www.captcha.ru), (от ZlydenGL - http://www.runcms.ru/forum/showthread.php?t=10817) ^ [Change] Добавлена возможность отправлять из админ-панели HTML текст в приватные сообщения пользователям (если используется визивиг) ^ [Change] Добавлен корректный HTML при отправке писем пользователям из админ-панели при использовании визивига ^ [Change] В /modules/news/admin/index.php в функцию build_rss() добавлена установка даты создания новости ^ [Change] В модуле /headlines/ устаревшая библиотека MagpieRSS была заменена на SimplePie ^ [Change] Добавление в класс RcxFormSelect возможности делать неактивным элемент списка (disabled) ^ [Change] Добавление возможности отключения смайлов в классе RcxFormDhtmlTextArea ^ [Change] Добавление поддержки списков множественного выбора для страницы настроек блоков ^ [Change] Добавление в /class/database/mysql.php в метод Database::query() возможности указывать время жизни кэша ^ [Change] Добавление типа данных array в класс RcxObject $ [Language] Незначительные правки русского перевода

Скачать RUNCMS 2.2.3.0 DEV >>>