Доступна (https://www.joomla.org/announcements/release-news/5713-jooml...) новая ветка свободной системы управления контентом Joomla 3.8 (http://www.joomla.org), в которой устранена опасная уязвимость (https://blog.ripstech.com/2017/joomla-takeover-in-20-seconds.../) (CVE-2017-14596) в модулей аутентификации через LDAP.
Из-за отсутствия должного экранирования передаваемых данных возможно указание в форме аутентификации специально оформленного имени пользователя, содержащего маску поиска в LDAP (например, "XX;(&(uid=Admin)(userPassword=A*))"). В процессе атаки возможно извлечение из LDAP-сервера параметров аутентификации для всех имеющихся учётных записей, включая логин и пароль администратора. Извлечение осуществляется методом подбора - на основании ответа сервера можно определить нашлись ли записи для отправленного поискового запроса, что позволяет символ за символом восстановить значение поля.
Из функциональных улучшений Joomla 3.8 можно выделить:
- Новая система маршрутизации обработчиков и система разбора структуры URL с поддержкой вырезания идентификаторов;
- Прослойка для совместимости с будущей веткой Joomla 4, в которой осуществлено изменение структуры кода из-за перевода классов на применение пространств имён. Прослойка позволяет постепенно адаптировать код под новую структуру, благодаря маппингу новых имён классов в старые;
- Возможность (https://github.com/joomla/joomla-cms/pull/7680) загрузки шаблонов данных с реализацией типовых вариантов сайтов после завершения установки Joomla;
- В состав включена реализация API библиотеки Sodium на языке PHP (Polyfill (https://www.opennet.ru/opennews/art.shtml?num=45868)), позволяющая задействовать в своих проектах современные криптографические функции, не дожидаясь релиза PHP 7.2, в котором будет встроено (https://www.opennet.ru/opennews/art.shtml?num=46089) расширение на базе libsodium.
Из особенностей Joomla можно отметить: гибкие инструменты по управлению пользователями, интерфейс для управления медиа-файлами, поддержка создания многоязычных вариантов страниц, система управления рекламными кампаниями, адресная книга пользователей, голосования, встроенный поиск, функции категоризации ссылок и учета кликов, WYSIWYG-редактор, система шаблонов, поддержка меню, управление новостными потоками, XML-RPC API для интеграции с другими системами, поддержка кэширования страниц и большой набор готовых дополнений (http://extensions.joomla.org/).
URL: https://www.joomla.org/announcements/release-news/5713-jooml...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47243