Orchard 1.8.2 és 1.9 megjelenés és biztonsági frissítés minden verzióhoz

Címkék: Orchard 1.8.2, Orchard 1.9, biztonság, GitHub

Hosszú szünet után ismét remek hírrel jelentkezik az Orchard Magyarország (ez persze nem jelenti, hogy a Lombiq "Content Network" többi oldala is csendes lenne, sőt!): megjelent a várva-várt 1.9-es Orchard verzió (és vele párhuzamosan az 1.8.2, amely ugyanazokat a javításokat tartalmazza, de az új funkciókat nem). Időközben az Orchard átköltözött CodePlex-ről GitHub-ra - a letölthető csomagok tehát már az új felületen (és a hivatalos oldalról is) tölthetőek le:

Amint elkészülünk a magyar fordítás bővítésével (kb. egynegyedével nőtt a fordítható szöveg mennyisége a változások és az új funkciók miatt!), a letölthető magyarított csomagok is hamarosan elérhetőek lesznek az 1.9-es verzióhoz.

A dokumentáció új szekcióval bővült, amely a "Security Researcher Acknowledgements". Itt vannak felsorolva azok a fejlesztők, akik valamilyen biztonsági rés felderítésével/kijavításával tették jobbá az Orchard-ot. Egy nemrég felfedezett (és javított) biztonsági hiányosság CSRF-támadást tesz lehetővé speciális körülmények között: a támadó a saját oldalán elhelyezett link segítségével személyre szabottan tud Orchard website-ok adminisztrátorai ellen (ha az adott felhasználó be van jelentkezve arra az Orchard website-ra, amelyre a link mutat) támadást intézni, azonban itt közel sem teljes hozzáférésről van szó. A támadó (ezekben az egyébként marginális esetekben) a célzott oldal felhasználóit tudja aktiválni/deaktiválni (kivéve a "kihasznált" adminisztrátort). A veszély tehát viszonylag alacsony és a sérülékenység által biztosított hozzáférés is rendkívül korlátozott, de nem elhanyagolható. Magáról a sebezhetőségről egy korábbi Orchard podcast során részletesen beszámolt Sébastien, amelyet itt lehet megtekinteni.

A javítás néhány sor kód változtatását jelenti és minden kiadott Orchard verzióhoz készült javítócsomag (source és web package-ekhez külön), amelyeket szintén GitHub-ról lehet letölteni.

Nincsenek hozzászólások

Hozzászólok