Фикс безопасности в LiveStreet 0.5.1
Новый Год не всегда приносит радостные эмоции и отличные подарки, иногда сюрпризы более мрачные.
В LiveStreet 0.5.1 в фото-сетах обнаружена XSS уязвимость.
Патч, исправляющий баг, здесь — github.com/livestreet/livestreet/commit/c5b8e20d0ec380c2f2222fa266261d22dc36f926
Либо можно просто повторно скачать архив с LS от сюда — livestreetcms.com/download/ (архив обновлен)
Настоятельнорекомендуем требуем выполнить обновление.
В LiveStreet 0.5.1 в фото-сетах обнаружена XSS уязвимость.
Патч, исправляющий баг, здесь — github.com/livestreet/livestreet/commit/c5b8e20d0ec380c2f2222fa266261d22dc36f926
Либо можно просто повторно скачать архив с LS от сюда — livestreetcms.com/download/ (архив обновлен)
Настоятельно
39 комментариев
Если не используешь в смысле.
А как убрать ссылку на создание фотосета при добавлении материала? Просто править шаблон, или можно как-то на более высоком уровне запретить и убрать из списка?
Также спасибо за небольшое нововведение в виде количества пользователей добавивших топик в избранное. Сори за офтоп, просто мне не целесообразно создавать ради этого отдельный топик.
1 Достаточно ли будет заменить файлы на сервере на новые из установки LS (и не стоит ли сделать отдельный архивчик для замены нужных файлов как поступают в друхих CMS)?
2 Как применить Патч, чтобы не открывать ручками и не заменять построчно?
Короче проехали. Надеюсь ты понял что я имел ввиду.
приведение типов?
фикс шаблона — это как дополнительная мера
Не всегда можно определить, что и другим интересно. По количеству обсуждений — да.
Но не все ведь коментят. Многие просто читают. А так можно наглядно посмотреть скольким челам кроме тебя интересна та или иная тема.
Своеобразный дополнительный рейтинг тем, идей, постов. Посмотри сколько челов поставили в избранное пост идеи какого-нить плагина
и вперед развивай эту тему.
+ выложить дистрибутив в tar-архиве (как родной для linux) а не zip?
— а какая версия ЛС?
— 0.5.1
— а с багфиксом или без?
— чо? а это чо такое?
— ну там было обновление безопасности — делал?
— а хз, мне програмер ставил
— …
И надо лезть в исходники, искать обновленные файлы, сверять тексты и т.д., и т.п. Куда проще — спросил номер версии, и все сразу понятно.
То же самое и девелоперской версии касается — как только вышел очередной релиз, девелоперской версии в гитхабе сразу же надо присваивать новый номер, чтобы приступая к какому-то сайту сразу видеть — стабильный релиз там стоит или дев.версия.
post_params: { 'topic_id':'{$_aRequest.topic_id}' },
надо заменить на
post_params: {json var=$_aRequest.topic_id} }
post_params: { 'topic_id': {json var=$_aRequest.topic_id} }