Релиз LiveStreet 1.0.3

Блог разработки LiveStreet
Сообщаем о выходе новой версии LS 1.0.3. Версия носит багфиксный характер.
Были закрыты две XSS уязвимости(спасибо HiMiC и PSNet ) и исправлено раскрытие директории в сессиях(еще раз спасибо PSNet ).

Обновленный дистрибутив уже доступен для загрузки — livestreetcms.ru/download/
Для закрытия этих багов для версий 1.0.2, 0.5.1 и 0.4.2 достаточно скачать этот патч и залить его поверх вашей версии LS.

Важное замечание! Настоятельно рекомендуем обновиться с версий 0.5 и 0.4 до актуальной 1.0.3. Т.к. помимо исправлений этого патча старые версии содержать множество других бед, в том числе и потенциальные уязвимости.

Изменения коснулись 4-х файлов: 
config/jevix.php
engine/lib/external/Jevix/jevix.class.php
engine/lib/external/swfupload/swfupload.swf
engine/modules/session/Session.class.php

Подробнее можно посмотреть на гитхабе — github.com/livestreet/livestreet/commit/83c15587388dec02f8b97eac8a0d809a3233702c

55 комментариев

avatar
Спасибо!
Макс, а если какой либо TODO-список/роадмап для следующих версий ЛС?
avatar
если = есть ли
avatar
Макс, а если какой либо TODO-список/роадмап для следующих версий ЛС?
Вы думаете он сможт так сразу определить сколько и каких багфиксов найдут в ЛСе другие люди?
Вы как мой бывший начальник: «Запланируй мне пожалуйста когда упадут наши сервера?»
avatar
туду это не багфиксы… это планы на будущее, т.е. то что разработчик(и) планируют реализовать в следующих версиях!
avatar
Есть вроде как, livestreetcms.com/about/future/
avatar
Мда. Только админпанель радует. А как насчет введения функционала, который в других CMS почти с самого рождения? Например количество просмотров топика, для LS только плагин, может ввести в стандартную поставку?
комментарий был удален
комментарий был удален
avatar
Скорее бы уже LS 1.1.0, не хочется делать шаблон под LS 1.0.х, а потом подпиливать для 1.1.0 :)
avatar
Когда будет версия 1.1.0 — лучше подождите до 1.2.0 что бы не подпиливать под 1.2.0)))
avatar
Надо так: «Когда будет версия 1.1.0 — лучше подождите до 1.2.0, чтобы как раз настроить до 1.3.0»
avatar
Я правильно понимаю, что старый баг, о котором я писал давным-давно, раскрывающий директорию и ломающий сайт при удалении топика с комментариями в прямом эфире так и не исправлен?
avatar
отличные новости, но почему в версии 1.0.3 нет ничего фиксирующего эту проблему livestreet.ru/blog/questions/14784.html
avatar
эта версия закрывает только критические уязвимости.
avatar
исправьте эту проблему, что человек может указать такую дату рождения, что его ещё «аист не принес»
avatar
Пожалуйста, сделайте так, чтобы то, что выводится под кат не отображалось в основном тексте статьи, а было видно только в блоге. Мелочь вроде, а очень нужно.
avatar
если я правильно понял мысль, то это делается на уровне шаблона. ЗАчем это всем, пока не пойму.
avatar
Если это на уровне шаблона можно реализовать — выложил бы кто-то мануал. Мне лично это бы пригодилось для переезда с жумлы на ЛС. А вот всем остальным для хорошего трафика на страницы блогов.
avatar
это только дубли лишние создаст. смысла в этом вообще нету. я считаю полным бредом писать в анонсе одно, а в топике другое. вам это нужно чисто для решения проблем с вашим переездом, а это заказывается отдельно.
avatar
Дубли как раз создает нынешняя система катов.
avatar
Да, кстати, мне этот переезд нужен не так уж сильно, можно сказать что теперь не нужен вообще. Джумла с уникальными анонсами и бесплатной возможностью создавать категории и под категории чудесно ранжируется в тех же подкатегориях по СЧ. А в ЛС это все, что принесло бы траф, надо закрывать от индексации. Так что пойду я вкладывать бабло в плагины шаблоны джумла, и задавать вопросы у них в сообществе — там, кстати, все более радушны и не занимаются вымогательством.
avatar
насколько я скептически отношусь к ЛС… не посоветовал бы Джумлы — никому.
Джумла адова неудобная штука с крайне непродуманным преподнесением функционала.
Тык закройте для поисковиков дубли и будет вам счастье. Хотя дело ваше и проект ваш.
avatar
Спасибо, обновился
avatar
Я так понимаю в loader тоже желательно версию поменять? )
avatar
Для закрытия этих багов для версий 1.0.2, 0.5.1 и 0.4.2 достаточно скачать этот патч и залить его поверх вашей версии LS.
А у кого LiveStreet: 1.0.1 тому что делать? Сначала на LiveStreet: 1.0.2 переехать а потом патч? Или этот патч с LiveStreet: 1.0.1 на LiveStreet: 1.0.3 переведёт сразу?
avatar
Качаете 1.0.3 и перезаливаете на 1.0.1. Вчера так сам обновлялся — все гуд.
avatar
Оперативно, будем пробовать.
avatar
Если я не ошибаюсь, появился косяки в парсере: после тире съедается перен строки.
Т.е. если написать:
раз — два
три
четыре
то, «два» всегда будет на той же строке, что и «раз», несмотря на перенос при редактировании. Ради примера три и четые нормально переносятся. Поясню, что в «исходнике» все четыре слова с новой строки.
  • Mac
  • 0
avatar
У меня и до 1.0.3 тоже самое было. При этом, если не ошибаюсь, этот косяк относиться только к длинному тире вроде.
avatar
Вроде перешёл но ничего не изменилос. В Админке так же версия Л.С. 1.01…
Как проверить перешёл я на новую версию или нет? Файлы уже с новой датой, то есть они поменяны…
avatar
версия не изменится на 103, только файлы от 103
avatar
ясно благодарю.
avatar
Т.е. этот патч не до конца обновляет LS до версии 1.0.3?

Если до конца, то почему не обновить заодно и версию?
avatar
просто забыли изменить версию
avatar
Если используется версия ЛС 1.0.1 конвертация БД до версии 1.0.3? Есть ли какие-то изменения связанные с БД?
avatar
Если используется версия ЛС 1.0.1 конвертация БД до версии 1.0.3 нужна? *fixed
avatar
нет, в БД изменений нет. только в файлах
avatar
Спасибо, проверил методом тыка на локальном сайте. Изменений не вносится. :)
avatar
А нельзя ли создать tag для версии 1.0.3 на GitHub?
avatar
А будет ли когда-нибудь прикручена поддержка PostgreSQL?
  • msk
  • 0
avatar
Как с 0.4.2 до 1.0.3 обновиться?
комментарий был удален
avatar
Скажите пожалуйста, а как мне обновить 0.3.1 до последней версии? Спасибо!
avatar
последовательно на 0.4.2, 0.5, 1.0
в каждой из версий есть readme.txt в котором описан процесс обновления
avatar
Спасибо! ReadMe читал на последних версиях, ессно не нашел про свой 0.3.1 :)
Буду обновлять последовательно!
avatar
Только умоляю вас! Сделайте бекапы сайта и бд!
avatar
Простите, задам еще один глупый вопрос, а где скачать старые версии? Сейчас выложена только новая.
avatar
sourceforge.net/projects/livestreet/files/LiveStreet%200.4/LiveStreet%200.4.2/ хром блокирует скачивание, пишет, что файл заражен.
avatar
Вот результат проверки этого файла — www.virustotal.com/ru/file/1849dbb9ccec50f2c847f30640aae208a49a8784e07eb8a602e3ecb423db3aeb/analysis/1430194923/

Дополнительно скачать можно с гитхаба github.com/livestreet/livestreet/releases
avatar
После апдейта с 0.5.1 до 1.0.3 не было предложения конвертировать базу в 1.0.3, и не запускался мастер настройки сайта, где нужно указать доступ к базе, сразу появился шаг 4. Сайт упал, выдал ошибку подключения к базе, прописал доступ в config.local.php, сейчас ошибка:
SQL Error: Table 'uchinarev2.prefix_geo_target' doesn't exist at /var/virtual/www/china-review.ru/httpdocs/classes/modules/geo/mapper/Geo.mapper.class.php line 79
Array ( [code] => 1146 [message] => Table 'uchinarev2.prefix_geo_target' doesn't exist [query] => SELECT SQL_CALC_FOUND_ROWS * FROM prefix_geo_target WHERE 1 = 1 AND target_type = 'user' AND target_id IN ( '1' ) ORDER BY target_id DESC LIMIT 0, 1; [context] => /var/virtual/www/china-review.ru/httpdocs/classes/modules/geo/mapper/Geo.mapper.class.php line 79 )

Помогите пожалуйста. Эта проблема из-за отсутствия конвертации базы? Сейчас можно что-то сделать?
Я обновлял движок последовательно, с 0.3.1 до 0.4.2, 0.5, 0.5.1, 1.0.3
avatar
Перед каждой конвертацией/апдейтом нужно почистить все куки
avatar
не было предложения конвертировать базу в 1.0.3
— сделайте backup базы
— конвертируйте базу 0.5.1 -> 1.0.3
avatar
Базу сконвертировал, путем отката и повторного пошагового апдейта движка, но теперь не работает подтверждение аккаунта нового пользователя по переходу по ссылке из письма о регистрации. Ошибка:

SQL Error: Unknown column 'user_settings_timezone' in 'field list' at /var/virtual/www/china-review.ru/httpdocs/classes/modules/user/mapper/User.mapper.class.php line 109
Array ( [code] => 1054 [message] => Unknown column 'user_settings_timezone' in 'field list' [query] => UPDATE prefix_user SET user_password = '3354045a397621cd92406f1f98cde292', user_mail = 'deniz2000@yandex.ru', user_skill = '0.00', user_date_activate = '2015-06-02 10:48:28', user_date_comment_last = NULL, user_rating = '0.00', user_count_vote = '0', user_activate = '1', user_activate_key = '1985bbe4a7d3b324895be70685fae02f', user_profile_name = NULL, user_profile_sex = 'other', user_profile_country = NULL, user_profile_region = NULL, user_profile_city = NULL, user_profile_birthday = NULL, user_profile_about = NULL, user_profile_date = NULL, user_profile_avatar = NULL, user_profile_foto = NULL, user_settings_notice_new_topic = '1', user_settings_notice_new_comment = '1', user_settings_notice_new_talk = '1', user_settings_notice_reply_comment = '1', user_settings_notice_new_friend = '1', user_settings_timezone = NULL WHERE user_id = '95' [context] => /var/virtual/www/china-review.ru/httpdocs/classes/modules/user/mapper/User.mapper.class.php line 109 )
avatar
В случае выставления таймзоны в настройках сайта под админской учеткой — тоже ошибка SQLError :(
Вообщем, все таки у меня что-то с базой. Как лечить — не понятно.
avatar
#comment284322
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.