Срочные исправления безопасности в MODX 2.5.2
Привет, друзья! У меня для вас отличная новость!
Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.

и несколько других, не касающихся безопасности, изменений, которые вы можете увидеть в changelog.
В первую очередь за улучшения безопасности нужно благодарить Евгения Борисова и Николая Ланец. Надеюсь, что практика быстрого выпуска исправлений безопасности продолжится и впредь.
Обновление уже доступно для загрузки с официального сайта и обновления на modhost.pro

Лично я уже обновил все сайты (включая магазин и панель управления хостингом), чем и вам рекомендую заняться прямо сейчас!
P.S. Обратите внимание, что из-за многочисленных изменений некоторые дополнения могут работать некорректно. Я уже выпустил новые версии pdoTools, ms2Gallery, miniShop2 и Uploadify.
Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.

- Скрыты критичные системные настройки [#13170]
- Запрет возможности локального подключения файлов (LFE) [#13177]
- Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
- Запрет неавторизованного доступа к процессорам [#13175]
- Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]
- Запрет слепой SQL инъекции при получении xPDOObject [подробности]
и несколько других, не касающихся безопасности, изменений, которые вы можете увидеть в changelog.
В первую очередь за улучшения безопасности нужно благодарить Евгения Борисова и Николая Ланец. Надеюсь, что практика быстрого выпуска исправлений безопасности продолжится и впредь.
Обновление уже доступно для загрузки с официального сайта и обновления на modhost.pro

Лично я уже обновил все сайты (включая магазин и панель управления хостингом), чем и вам рекомендую заняться прямо сейчас!
P.S. Обратите внимание, что из-за многочисленных изменений некоторые дополнения могут работать некорректно. Я уже выпустил новые версии pdoTools, ms2Gallery, miniShop2 и Uploadify.
Комментарии: 90
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
АнтонFi1osofПлюс довольно объемное общение с MODX team в личке. А в ответ получаешь такое.
Так-то пофиг, а так-то вообще не располагает. С учетом того, что Женя жаловался, что его за его же труды не поблагодарили (как минимум), особенно странно видеть такое поведение с его стороны. Постараюсь больше Жени не касаться вообще никаким боком.
Постараюсь больше не реагировать на твои заскоки. Вводи и дальше людей в заблуждение.
$_REQUEST['action'] = '....//....//new/action';
Fi1osofНу да, себя же неудобно благодарить, хотя и ты внёс очень большой вклад в эту волну, спасибо и тебе!
Очень радостная новость, спасибо за ваши старания!
///---///
Yes, that's one of the xPDO fixes. Developers should still make sure user input is sanitised though.
And our english comments looks like this, by the way =)
П.С. Прямо мастер Йода ))
Like it better translates :)
Помню это ещё со школы. А сейчас могу сто раз пытаться запомнить какое-нибудь слово, на следующий день и не вспомню. :(
П.С. Ну и окончание -s используются только для 3-го лица в единственном числе. Comment looks, comments look. ))
Раньше я так постоянно чистил систему от старых ненужных версий…
Поэтому сначала ссылка на авторизацию пропала, а щас вот это. Поправлю в течении часа.
Или ждать нового релиза, исправление уже добавили в новую ветку.
Когда выбираю последнюю версию, и нажимаю обновить, на странице выводится такое сообщение:
../modx.zip is empty — download failed
В чем может причина и как можно решить, подскажите?
P.S Когда первый раз устанавливала Modx revo, использовала версию Advanced для установки.
Я поблагодарил его лично — у него есть второй аккаунт, вполне рабочий.
Дяде Васе пришлось самому выискивать уязвимые места в логах, читать теорию и проверять её на практике. А потом доказывать, насколько это опасно дяде Джейсону и дяде Марку при помощи дяди Жени, который написал реальный пример использования уязвимости.
Ну и код для закрытия уязвимости тоже написал дядя Вася.
Так что про дядю Зенита никто в MODX не слышал, зато его благодарим мы, всем сообществом.
///---///
I'm thankful to everyone that contributed into getting these vulnerabilities fixed. If the official announcement should get another name added that we missed, please let me know and I'll try to get someone to update that.
Он доказал, что нужно людей в первую очередь слушать и слышать.
А мог бы сломать всё к чертям, быть плохим и злым.
Или я должен написать ему любовное письма и поблагодарить за то, что он взломал мой сайт, вместо подробного объяснения самого алгоритма взлома?
Еще раз: я всё это выяснял самостоятельно, консультировал меня Евгений Борисов. Правоту Зенита я признал и выразил своё восхищение его навыками (но не манерами). Ни строчки кода в новую версию MODX он не прислал.
Твоё беспокойство судьбой Зенита лично я понять не могу. Среди меня бытует мнение, что он может постоять за себя самостоятельно, без публичных адвокатов.
«нужно людей в первую очередь слушать и слышать».
За такое твоё отношение к людям, на его месте я поступил по другому.
Это печально.
Это и правда печально.
Не однократно на мои ответы (пусть дублирующие) была такая реакция.
Но раз минус, значит минус.
Я видел эту тему (с зенон) и видел всю надменность людей, высказал своё недовольство. Но всё решили, всё поправили.
Проще надо быть и люди потянутся.
Удачи Вам)
Круто, что сделали быстрое обновление)
Закрыты все известные уязвимости в MODX Revolution и это само по себе очень круто. Лично я, наконец-то, смогу спокойно поспать, а то очень нервная выдалась неделя.
Но прошу заметить, что это все только известные уязвимости. Вот бы вести отдельный лог по безопасности сайта и в случае проникновения хакера — отдавать лог разработчикам на диагностику…
Как отличать плохие запросы от хороших?
А так — у каждого нормального сайта ведётся лог посещений и ошибок, именно через них я и разбирался с тем, что делал zenit.
Спасибо всем, полегчало на душе.
Мелкая, но досадная ерунда, тут уже писали о ней, все пакеты при обновлении исчезли из вкладки «Загруженная версия», где можно было удалять прежние версии.
Или ждать нового релиза, исправление уже добавили в новую ветку.
Fi1osofFi1osofНо получил кучу проблем… пока с ходу кажется что это pdotools
У меня уходит вся память и сервер в 504 и тп после обновления, через 2 минуты после запуска.
Происходит переполнение памяти на боевом сервере (не заметно если тестировать локально, тк нет нагрузки)
Вычислил что так происходит если вызвать внутри pdoResources, еще раз например pdoResources
и это вроде для любого компонента на pdotools
Ни кто не замечал?
пока не успел потестить просто, сделаю если надо будет и отдельный тест
А так — нет, никто про такие проблемы больше пока не писал.
Проблема в том, что в данном обновлении в методе sortby из xpdoquery.class.php стал обязательным второй аргумент и старый код обрабатывающий пакеты перестал работать. Если кому-то нужно, чтобы эта опция заработала до нового релиза, то необходимые исправления можно посмотреть тут. Всего одна строчка :)
Еще кое-какая мелкая проблемка:
Теперь после обновления срабатывает Всегда и для авторизированных пользователей и обычных, выводя весь текст что Авторизирован, хотя плейсхолдер:
срабатывает верно: если пользователь не зарегин выводит 0, иначе 1
Но при этом есть косяк с обработкой THEN. Что посоветуете? Может быть есть кто-то повыше квалификацией и сможет объяснить, профиксить. Спасибо!
PS и в доках пора столбец с феномом в модификаторах завести
А модификаторы Fenom в его собственном разделе.
Почему всё Василий должен делать?
Таким образом встает вопрос — как проверить пользователя… Пришел на ум пока только такой вариант:
Вот как-то так…
посмотрите, все что есть в $_modx->user
Вместо «0» можно указать ID любого пользователя.
такой вариант мне больше нравится)
PS под «больше нравится» я имею ввиду проверку по ID, а не по имени группы.
P.S. Понятно что группу можно подставлять любую
И не работает он не в последнее время, а вообще, насколько я вижу. Т.к. при проверке анонимов, он будет проверять первого существующего пользователя.
или так:
Я заметил за всё время пользования феномом уже у нескольких модификаторов такие глюки — не работают как должны, зато их более длинный вариант через $_modx работает как надо…