Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester · 2012-05-23 01:39:50

Здравствуйте, Уважаемые Специалисты! :) Возможно спрашиваю глупость, вы уж извините...

Я простой пользователь без углублённых знаний программирования. Выбрал NGCMS по причине её гибкости и быстроты.
Но вот понемногу начинаю впадать в депрессию, изучая обновления в виде Changeset-ов :)

Я так понимаю, что некоторые из них крайне важны. Но как их применить - не совсем понимаю...
Например, залез в 998, а там идёт сравнение с 970... Захожу в 970, а там идут сравнения с 957 и 966... И так далее.
В общем, если "простой смертный", как я, будет разбираться со всеми чейнджсетами начиная с 880, то это легче застрелиться... :)

В связи с этим такой вопрос:

Можно ли выложить на сайте ngcms.ru (или на форуме) информацию о том, как быстро применить к версии 0.9.3 Release [SVN880+FIX01] следующие важные обновления:

- Исправление потенциальной уязвимости при редактировании новостей (добавлен токен безопасности)
- Восстановление работоспособности раздела "Управление базой данных"
- Добавление к кукам безопасности флага "httpOnly", против воровства авторизационной cookie через обнаруженные XSS уязвимости
- Устранение XSS уязвимости при удалении новости

Изменено cmsTester (2012-05-23 20:20:19)

Knopik · 2012-05-23 13:27:04

cmsTester, на форуме уже была информация об этом.
в 2х словах выглядит так:
устанавливаешь двиг, проходишь сюда (плагины отдельно тут), внизу страницы жмем на

на след странице видим

меняем поля так
From: /ngcms/trunk at revision: 880
To: /ngcms/trunk at revision: N (где N номер ChangeSet'а до которого нужно обновиться)
На след странице будут показаны все изменения в промежутке от 880 до N ChangeSet'а
спускаемся вниз, там 2 ссылки

кликаем по Zip Archive и сохраняем архив с измененными файлами. Закачиваем по верх старых файлов, соглашаемся на замену.
profit
Но есть нюансы, например изменения структуры базы данных или ещё что нибудь (например запустить upgrade.php / выключить-включить плагин и тд), по этому нужно смотреть каждый комментарий к ChangeSet'ам.

infinity237 · 2012-05-23 13:36:27

Только не обежайтесь потом, что ничего не работает. xD

easmik · 2012-05-23 13:39:59

infinity237, я сегодня поставил из SVN версии движку, еще активно не юзал, но при установке где расписывается процесс установки двига, в низу должна быть кнопка перейти по это ссылке (и попадаешь в админку) но в новом дизайне кнопки не было, просто такое ощущение что строки куда то убежали за видимость блока. Может косяк браузера (FireFox 12) или просто кнопку забыли

cmsTester · 2012-05-23 20:41:00

Knopik, спасибо! Пойду разбираться...

Ой, чуть не забыл... Вот насчёт "Восстановление работоспособности раздела "Управление базой данных""
А что именно неработоспособно в этом разделе в версии 0.9.3 Release [SVN880+FIX01]?
Пока что я только в интерфейсе этого раздела заметил отличия от версии 0.9.2 Release [SVN646] - нет столбиков "Операции с таблицами".
Это единственное отличие, или есть ещё сюрпризы, которые смогут помешать, например, переехать или обновиться в будущем?

infinity237 пишет:

Только не обежайтесь потом, что ничего не работает. xD

Уже страшно... Желание модернизации начинает испаряться :) Лучше б я это не читал :D

P.S. Прошло 30 минут... Посмотрел я на всё на это, что посоветовал мне Knopik...
Замечание от infinity237 стало как-то очень убедительным ))) И вообще... Это я полгода буду разбираться, если не больше :D
Скорее всего буду ждать следующего релиза. Ибо при таком раскладе я так обновлюсь, что потом "костей не соберёшь"...

Надеюсь за это время какой-нибудь хакер не вскроет мне сайты через все незаштопанные уязвимости :D

Изменено cmsTester (2012-05-23 21:32:22)

vitaly · 2012-05-23 22:23:16

cmsTester, в релизе проблемы не было. Она появилась в процессе разработки и была быстро устранена в ближайших ChangeSet'ах

cmsTester · 2012-05-23 23:06:19

vitaly пишет:

cmsTester, в релизе проблемы не было. Она появилась в процессе разработки и была быстро устранена в ближайших ChangeSet'ах

Это касательно чего?

Касательно работоспособности раздела "Управление базой данных" или касательно уязвимостей?

Или и того и другого?

Если вообще не было проблем, то получается, что я просто всё не так понял...
А зачем же тогда Knopik меня так далеко послал? :)))))

vitaly · 2012-05-23 23:19:13

cmsTester, проблем не было в разделе "Управление базой данных", уязвимости были.

В принципе самой опасной из них была XSS уязвимость при удалении новости, добавленной недоверенным пользователем.
Остальные в большей мере чисто теоретические.

cmsTester · 2012-05-23 23:39:51

vitaly пишет:

В принципе самой опасной из них была XSS уязвимость при удалении новости, добавленной недоверенным пользователем.

А если администратор удаляет свою же новость? В этом случае образование XSS уязвимости не грозит?

Изменено cmsTester (2012-05-23 23:42:54)

vitaly · 2012-05-24 01:37:35

cmsTester, только если администратор сам в заголовок своей же новости положит JS код для воровства cookie..

Next Generation CMS :: Форум поддержки

Объявление

#1 2012-05-23 01:39:50

Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#2 2012-05-23 13:27:04

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#3 2012-05-23 13:36:27

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#4 2012-05-23 13:39:59

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#5 2012-05-23 20:41:00

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#6 2012-05-23 22:23:16

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#7 2012-05-23 23:06:19

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#8 2012-05-23 23:19:13

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#9 2012-05-23 23:39:51

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

#10 2012-05-24 01:37:35

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

Подвал раздела