e107.org.pl : Aktualności

[AKTUALIZACJA] Nowe wersja e107 v0.7.23

maks@nospam.com (Maks) — Sun, 22 Aug 2010 05:56:35 -0700

20 sierpnia ujrzała światło dzienne nowa wersja e107 v0.7.23.

Główny nacisk położono ponownie na zwiększenie bezpieczeństwa skryptu e107 (tutaj szczególne podziękowania dla Justin Klein Keane aka MadIrish). Dodano również nowe funkcjonalności - szczegóły w pliku readme.

Co nowego:

- zabezpieczenie sekcji plików do pobrania przed jednoczesnym pobieraniem wielu plików w krótkim czasie przez jednego użytkownika,
- dodano nowy tag bbcode dla obsługi zagnieżdżonych filmów z serwisu YouTube'a ([ youtube ][ /youtube ]) (szczegóły w readme),
- dodano nowe narzędzie w sekcji 'opcje językowe' do tworzenia własnych paczek językowych (więcej info),
- dodano wsparcie dla aplikacji zwiększających bezpieczeństwo stron internetowych (ZB Block)

Pełna historia zmian

Nowe wersje e107 do pobrania z e107.org

Źródło: e107.org

[AKTULIZACJA]

Polska wersja jak zwykle do pobrania w sekcji download
Szczegóły wydania po polsku w pliku readme_update_pl.txt
Do pakietów aktualizacyjnych i instalacyjnych v0.7.23 PL zostały dodane sumy kontrolne polskich plików językowych oraz załączonych poprawek w celu lepszego wykorzystania narzędzia 'Kontrola plików'.

FAQ Migracja e107 v0.7.22 -> v0.7.23

Jak zmienić kodowanie na UTF-8

denes@nospam.com (Denes) — Tue, 27 Jul 2010 13:31:17 -0700

Zgodnie z zapowiedziami publikujemy artykuł jak zmienić kodowanie znaków z ISO-8859-2 na UTF-8 w bazie danych. W artykule starałem się przedstawić dość szczegółowy opis samych czynności oraz sposób wykorzystania do tego ogólnodostępnego oprogramowania. Tekst o konwersji bazy dany dostępny jest w dziale artykuły

Prace administracyjne

maks@nospam.com (Maks) — Tue, 20 Jul 2010 10:53:53 -0700

W ciągu najbliższych kilku dni mogą wystąpić planowane wyłączenia serwisu oraz problemy z jego dostępnością w sieci Internet.

Za wszelkie utrudnienia najmocniej przepraszamy.

e107 Polska

Bezpieczeństwo w e107.

denes@nospam.com (Denes) — Mon, 05 Jul 2010 11:29:37 -0700

Ze względu na dużo zapytań o próby włamań na stronę należy dostosować się do poniższych wskazówek.

System bezwzględnie należy zaktualizować do wersji 0.7.22. Nie potrzeba do tego polskiej wersji aktualizacji podlegają pliki nie mające wpływu na wyświetlanie się strony.

Są dwa rodzaje ataków.
Pierwszy powoduje wywołanie pliku contact.php. Powoduje to dość znaczne obciążenie serwer. W skrócie mówiąc. Używając starszej wersji hakerzy uzyskują dostęp do naszych plików i mogą tam wstawić własne skrypty poprzez które wywołują swoje zamierzone cele wymierzone na naszą/waszą stronę. Błąd ten został poprawiony w wersji 0.7.22.

Drugi atak powoduje wywoływanie pliku help_us.php, który powinien znaleźć się na naszym.waszym serwerze po pierwszych atakach. W przypadku wersji 0.7.22 taki plik tam się nie znajduje. e107 wyświetla wtedy stronę błędu 404 'strony nie znaleziono'. W normalnych przypadkach nie ma to żadnego wpływu na poprawne działanie strony. Ale w przypadku wielokrotnego wywoływania tej strony, zostaje dość znacznie obciążony serwer i baza danych z której jednak system również korzysta podczas jej wyświetlania.

Oby dwa ataki mogą być, a nawet w pewnym stopniu staja się atakami DDOS.

Aby zapobiec takim atakom należy wykonać trzy podstawowe rzeczy:

Jeżeli nie używasz pliku contact.php (kontaktu na stronie) usuń ten plik.
Jeżeli używasz strony kontaktowej, zmień nazwę tego pliku na inna (np. kontakt.php; o_mnie.php) i wstaw ją w link prowadzący do niej.
Usuń dostęp do strony z błędem 404 w systemie e107 i stwórz odpowiednią stronę w czystym języku HTML, który będzie wywoływany w przypadku wystąpienia błędu 404. Pokrótce opisałem to już na forum.
Zmień hasła dostępu do FTP i bazy danych, na hasła silniejsze.
Jak najmniejszą ilość katalogów udostępniaj do publicznego zapisu (uprawnienia 777). Usuń te uprawnienia dla katalogów e107_themes i e107_plugin. Rzadko się tam zapisuje pliki z poziomu strony. Ustaw uprawnienia tylko dla tych katalogów, które są faktycznie używane.
Sprawdź poprawność konfiguracji pliku e107_admin\filetypes_.php, tak aby tam nie było rozszerzeń plików skryptowych (m.in. php)
Skorzystaj z działu kontrola plików i sprawdź czy nie znajdują sie tam pliki nieznane systemowi lub z błędnym rozmiarem.
W ostateczności porównaj zawartości katalogów i rozmiary plików tekstowych z katalogami i plikami wersji instalacyjnej.

Ponieważ ataki są zlokalizowane z różnych adresów IP możemy poprosić admina o pomoc w zablokowaniu pul tych adresów. Sami jedynie możemy przejrzeć logi serwera i śledzić z jakich adresów następuje atak.

Więcej o sposobie zabezpieczenia się przed atakami można znaleźć na oficjalnej stronie e107.org. Powyższy tekst jest krótkim tłumaczeniem newsa znajdującego się na oficjalnej stronie, tak aby był zrozumiały dla wszystkich osób.

e107 v0.7.20 PL UTF-8

maks@nospam.com (Maks) — Sat, 08 May 2010 10:56:24 -0700

Najnowszy e107 v0.7.20 w polskiej wersji językowej jak zwykle do pobranie ze strony projektu e107pl lub z naszego działu download.

Aktualizacja bezpieczeństwa e107 0.7.20

denes@nospam.com (Denes) — Sat, 17 Apr 2010 08:03:52 -0700

Została wydana kolejna poprawka e107 dotycząca bezpieczeństwa systemu. Poprawiono w niej dwa dość duże błędy pozwalające w pierwszym przypadku wysłać złośliwy plik. W drugim przypadku zablokowano możliwość dodania złośliwego kodu js, który był uruchamiany w momencie edytowania postu przez administratora.

Ponadto poprawione wcześniej wykryte błędy w poprawnym działaniu e107.

Ze względów bezpieczeństwa zaleca się zaktualizowanie systemu do nowej wersji.

Informacje na temat wprowadzonych zmian znajdziecie tutaj

Aktualizacje można porać z oficjalnej strony: http://e107.org/edownload.php

Polska wersja zostanie opublikowana w najbliższym czasie.

e107 v0.7.19

denes@nospam.com (Denes) — Tue, 23 Feb 2010 12:58:58 -0800

Nowa wersja e107 0.7.19 nie jest krytyczną aktualizacją. Została wydana z kilku powodów. Podstawowym powodem jest przeniesienie całości z CVS do Subversion co poprawi obsługę i kontrolę całości.
Aktualizacja do nowej wersji jest zalecana ze względu na późniejsze łatwiejsze przejście do wersji o numer wyżej. Z drugiej strony autorzy e107 proszą o szczególną uwagę przy robieniu aktualizacji serwisu, a wszystkie błędy niezwłocznie im zgłaszać.

Nowa wersja do poprania ze strony http://e107.org/edownload.php

Jeżeli ktoś nie chce aktualizować swojego serwisu do nowej wersji i poczeka na w pełni przetestowaną wersję 0.7.20 zalecam aktualizację pliku signup.php w katalogu głównym. Jest w nim poprawka odnośnie filtrowania adresów email przy rejestracji.

e107 v0.7.18 PL UTF-8

maks@nospam.com (Maks) — Sun, 14 Feb 2010 11:33:55 -0800

Najnowszy e107 v0.7.18 w polskiej wersji językowej jak zwykle do pobranie ze strony projektu e107pl lub z naszego działu download.

e107 v0.7.18

denes@nospam.com (Denes) — Sat, 06 Feb 2010 06:29:02 -0800

Ze względów na bezpieczeństwo, została wydana kolejna poprawka do systemu e107, która poprawia i wzmacnia bezpieczeństwo na stronach opartych o system.
Ponadto został poprawiony błąd związany z dodatkowym polami użytkowników.

Lista zmian dostępna tutaj
Uaktualnienie dostępne tutaj