[size="3"]В системе управления контентом TYPO3 найдена критическая уязвимость [/size]
"Serious security issue found in (http://typo3.org/news-single-view/?tx_newsimporter_pi1%5BshowItem%5D=0&tx_newsimporter_pi1%5Bfeed%5D=12&cHash=3c82161eb0#single)TYPO3 (http://typo3.org/) core" - в ядре системы управления web-контентом TYPO3 найдена критическая уязвимость. Так как уязвимость очень опасная разработчики TYPO3 опубликовали вначале только первичное уведомление с призывом запланировать на завтра обязательное обновление CMS. Вся информация об уязвимости и патчи для версий 3.3, 3.5, 3.6, 3.7, 3.8, 4.3alpha1 будут опубликованы завтра, 10 февраля, в 12 часов по московскому времени.
Дополнение: Уязвимость (http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/) в коде с реализацией механизма jumpUrl позволяет злоумышленнику прочитать содержимое любого файла на сервере. Проблема исправлена в релизах 4.0.12, 4.1.10, 4.2.6, для других версий подготовлен корректирующий скрипт (http://typo3.org/fileadmin/security-team/bug10364/fix_10364.sh).
http://www.opennet.r...shtml?num=20188 (http://www.opennet.ru/opennews/art.shtml?num=20188)
[size="3"]Релиз системы управления контентом TYPO3 4.6 [/size]Увидел свет (http://typo3.org/news-single-view/?tx_newsimporter_pi1%5BshowItem%5D=0&tx_newsimporter_pi1%5Bfeed%5D=11&cHash=6a91dc34a8#single) релиз открытой системы управления web-контентом TYPO3 4.6.0 (http://typo3.org/download/release-notes/typo3-46/). Кроме реализации нескольких новшеств, новая версия примечательна проведением значительной чистки и удалением устаревшего кода. Начиная с текущего выпуска прекращена поддержка режима "safe mode" и версий PHP до 5.3, кроме того, признан неподдерживаемым браузер Internet Explorer 6. Для пользователей, которым важна поддержка устаревших версий PHP или web-браузеров рекомендуется использовать LTS-ветку TYPO3 4.5, поддержка которой продлится до 2014 года.
Ключевые улучшения (http://wiki.typo3.org/TYPO3_4.6):
- Переработанный механизм локализации, основанный на использовании формата XLIFF (.xlf), благодаря которому удалось существенно упростить процесс локализации и реализовать возможность рационального выбора варианта при отсутствии искомой метки локализации. Если метка не найдена раньше всегда выдавался вариант на английском языке, теперь можно указать иерархический список замен, например, если какая-то метка не найдена в украинской локализации, можно вывести этот элемент из русской локализации;
- Добавлен конструктор форм, позволяющий создавать формы ввода через удобный "drag&drop" интерфейс, перетаскивая готовые элементы, и сразу наблюдая итоговый результат, в таком виде, в каком он будет размещён на сайте. Для элементов возможен выбор готовых правил для проверки корректности ввода, например, можно указать возможность ввода только email-адреcов, номеров телефонов или цифровых значений;
(http://pics.kz/i2/94/ca/94cae0861e11d7e0fc05c58bb856aa46.png) (http://typo3.org/uploads/pics/form_wizard.png)
- При установке теперь автоматически выбираются настройки, направленные на обеспечение максимальной безопасности. Добавлено два новых расширения "saltedpasswords" и "rsaauth", первый для генерации хэшей паролей с использованием salt (ранее MD5-хэши генерировались без salt), а второй для организации аутентификации с использованием механизма открытых ключей при входе через https;
- Переработан и оптимизирован фреймворк для организации кэширования (Caching Framework), что позволило поднять производительность на новый уровень при использовании кэширования в памяти при помощи Memcached или Redis. В бэкенд и фронтэнд добавлен новый встроенный оптимизитор Javascript и CSS, который позволяет сократить число обращений к серверу до 66%. Fluid-шаблоны теперь поставляются в виде, скомпилированном в PHP-файлы, что позволило ускорить процесс отрисовки в 2-5 раз и при этом сократить занимаемую память;
- Проведена оптимизация юзабилити и реорганизация элементов управления в новом менеджере дополнений, базирующемся на фреймворке ExtJS;
(http://pics.kz/i3/89/a8/89a8cda3543068d33d8b6b1083dac7bd.png) (http://typo3.org/uploads/pics/em.png)
- Дата публикации может задаваться для страниц и элементов с точностью до минут (ранее можно было указать день);
- Реализовано несколько новых периодически выполняемых работ: "сбор мусора из таблиц" (удаление устаревших данных, например, чистка логов) и "чистка устаревших файлов из корзины".
- Возможность определения разных имён cookie для фронтэнда и бэкенда, что полезно при развертывании нескольких инсталляций TYPO3 в рамках одного домена;
- Оптимизирована работа встроенной системы поиска Live Search: поиск теперь осуществляется только по значимым полям, из поиска исключаются все цифровые поля и вторичные таблицы. Кроме того, поиск теперь не ограничен первыми 4 уровнями вложенности документов на сайте;
(http://pics.kz/i1/6c/be/6cbe3e30037e53390bbcb0db4ee68e9f.png) (http://typo3.org/uploads/pics/be-search.png)
- Поддержка интернационализованных доменных имён (IDN (http://ru.wikipedia.org/wiki/Internationalized_Domain_Names)), TYPO3 отныне может кодировать и декодировать доменные имена в представлении punycode, например, домены в зоне ".xn--p1ai" (".рф").
# opennet.ru (http://www.opennet.ru/opennews/art.shtml?num=32134)