Evolution CMS 1.3.6

Безопасность
Новая версия обновляться обязательно, так как закрыта проблема с безопастностью!!!
github.com/evolution-cms/evolution/releases/tag/1.3.6

Для 1.2.2 используем вот этот патч (так же доступен в extras):
github.com/extras-evolution/security-fix/tree/v1.2.2

Так же если у вас версия 1.3+ но до этого были более ранние то удалите старую тему:
manager/media/style/MODxRE2_DropdownMenu

В офф версии MODX EVO дыра только с версии 1.2.2
в моих кастомных сборках с версии 1.2.1 с появлением новой темы, но там проще или так же заменить файлик или лучше обновиться. так же Поможет решение просто удалить тему если не используете ее

44 комментария

avatar
Приветствую. В версиях ниже 1.2 тоже удалять эту тему или дыра только в версиях более 1.2.2?
avatar
Если используете более ранние версии то логично обновить до версии 1.2.2
или обновить файлик ajax.php в теме
avatar
Если не используете новую тему и не хотите обновлять то можно просто удалить тему
avatar
Не совсем понял. Если стоит к примеру 1.3.2 или 1.3.3, полученная обновлением с более старых, то нужно:
1) удалить папку manager/media/style/MODxRE2_DropdownMenu
2) обновиться до 1.3.6.

Так?
avatar
В общем если есть файл, то просто обновляйте.
avatar
Понял, спасибо.
avatar
Упс. У меня 1.3.3 только что взломали. Точнее, только что обнаружил…
avatar
Ну дык а зачем я выпускал версию 1.3.6 с описанием что есть замечания по безопастности? Как раз для того что б закрыть дырки. Поэтому рекомендую обновляться по быстрее.
avatar
Так расслабился… привык, что ломают не сразу после обнародования критических дыр, а пару апдейтов спустя :)
avatar
Ложный шухер. Не вычистил, оказывается, всю заразу с прошлого взлома. Один файл пропустил, у него внутри настолько сильно обфусцированный код, то ни evocheck, ни айболит на него толком не ругнулись. Айболит, правда, в общем списке подозрительных показал, но персонального ругательства на него не вывел.
avatar
Обновился из админки с Evolution 1.3.3 до Evolution 1.3.6.
Перестали выводится чанки и сниппеты списком, хотя в выпадающем меню они отображаются, и открываются для редактирования. ТВ, шаблоны и плагины видятся нормально. В табе Общий просмотр чанков и сниппетов также нет.
Сайт на локальном OpenServer 5.2.2, PHP 5.6, MySQL 5.6
Ставить систему заново и все чанки-сниппеты-и тд по новой прописывать перспектива не впечатляет. Пришлось откатить назад.

Подскажите, как убрать дырку без полного обновления версии ядра?
Папки manager/media/style/MODxRE2_DropdownMenu нет, есть только /default, что и прописано в конфигурации. В теме Default файл ajax.php присутствует.
avatar
через Extras -> Ситема — Security FIX for 1.2.2 (core)

Не?
Комментарий отредактирован 2017-09-07 12:21:00 пользователем zloyxrom
avatar
Установил, визуально ничего не поменялось. Может для 1.3.3. свое лечение?
avatar
В 1.3.3 надо менять строки кода поэтому там проще просто обновить на 1.3.6 и не мучаться )
Я специально не выкладывал патч ибо 1.3.6 и есть патч к ветке 1.3.*
avatar
Поставил 1.3.6. с нуля, потом через бд перенес все что нужно. Не лучший вариант обновления. Если бы не дыра, так и сидел бы на 1.3.3., ибо после обновления через админку не работают некоторые нужные функции, как я уже писал выше. Спасибо за ответ.
Комментарий отредактирован 2017-09-07 16:28:01 пользователем yawakkb
avatar
То что не видно чанков снипетов надо еще раз обновить и будет работать :)
avatar
Подскажите, так как же правильно решить эту проблему. Так же обновился до 3.6 и появилась проблема с чанками и снипетами. Скачал последнюю версию, закинул папку manager на хостинг, но ничего не изменилось. Может есть какая-то хитрость?
avatar
Обновился на парочке сайтов — везде периодически вижу «Что-то пошло не так» в модальном окне при редактировании ресурсов. В событиях пусто.
Комментарий отредактирован 2017-09-07 18:22:57 пользователем Wooof
  • Wooof
  • +1
avatar
Есть такая штука и у меня. Появилась именно после обновления.
В событиях пусто, в логах тоже ошибок никаких.

Откуда лезет и что не нравится пока не разбирался — времени тупо не хватает. Все по командировкам мотаюсь. Если Дмитрий к тому времени не подскажет откуда, то через недельку в отпуск — тогда плотно займусь.
Комментарий отредактирован 2017-09-08 20:57:12 пользователем xakepShilo
avatar
Кстати, окно появляется на ровном месте (не обязательно при редактировании ресурса).
avatar
У меня такого не было. Но при редактировании постоянно. Но коли так, то джава-скрипт подглючивает где-то.
avatar
Снес EvoModal — перестало выскакивать
avatar
+1. Окошко появляется, когда ходишь по Элементам, после открытия консоли F12. Когда редактируешь и сохраняешь ресурсы не появляется. После его появления в консоли появляются ошибки… Как починить-то?
Комментарий отредактирован 2017-09-13 10:01:07 пользователем googa
avatar
Выключить EvoModal и EvoKeybinds (я оба убрал)
avatar
Большое спасибо. Мне помог ваш опыт)
avatar
Еще алерт выпадает при попытке выделить содержимое, напирмер, чанка, и унести мышь за пределы этого текстового поля.
avatar
Перехватил целую серию POST-запросов к index-ajax.php (который подменил на свою «заглушку»), кому интересно, что туда пихают — вот файлик, сложил в него содержимое этих самых запросов, там очень много интересных включений eval :).
yadi.sk/d/txXQFR0M3MhAkq
(пароль к архиву — 111).

Также обнаружил целую серию POST-запросов с успешным кодом завершения (200) к следующим php-файлам.
Признаков взлома на сайте пока не наблюдаю, но сам факт таких запросов меня несколько беспокоит:

66.162.164.38 — - [07/Sep/2017:03:23:44 +0300] «POST /assets/snippets/wayfinder/configs/cssplay-basicdropdown.config.php HTTP/1.1» 200

173.201.196.144 — - [07/Sep/2017:03:23:49 +0300] «POST /manager/processors/save_tmplvars.processor.php HTTP/1.1» 200

Было еще куча POST-запросам к несуществующим php-файлам с нечитаемыми названиями.

Может быть, эта информация для кого-то будет полезной.
avatar
Попробую в эти два файла тоже вставить в начало логирование POST-данных в файлик, как это я сделал с index-ajax.php, возможно, стукнутся еще…
avatar
Перехватил. Пихают eval в нейик параметр «q», но в этом файле такой вроде не обрабатывается. Скорее всего, по инерции тыркаются к следам от предыдущего взлома.
avatar
После обновления отвалился метод DBAPI
$modx->db->select();
avatar
Можно пример что работало и с какой ошибкой отвалилось?
просто это один из основных методов в админке в том числе поэтому не думаю что отвалился именно этот метод может что то рядом
avatar
Сорри, мой косяк, все работает.
avatar
Не уверен, что ошибка, но вот эта строчка в коде вызвала некое подозрение.
Дмитрий, можете глянуть?

github.com/evolution-cms/evolution/commit/6061996046a2eee1aa1fe3e2a7a285e9c9230a1d#commitcomment-24273327

(строка 196)
avatar
Не знаю, как эта штука называется… одно время Дмитрий выкладывал видео, где он создает чанки прямо из режима редактирования шаблона — выделяет кусок кода, тыкает в него, появляется всплывающее окошечко с предложением создать чанк.
Так вот у меня это окошечко появляется, но ссылки создания чанка в нем не работают.
avatar
Первый раз обновился до новой версии EVO 1.3.
Фантастическая скорость работы админки!
avatar
Отвалилось условие вида 

<code><@IF:[!$_GET['path'];!]>
do something
<@ENDIF>
</code>

[!$_GET['.....'];!] не пустой. А условие не работает
Комментарий отредактирован 2017-09-15 10:43:02 пользователем alexbeep
avatar
Одно лечим — второе калечим. Перестал работать PHx для условий с версии 1.3 — перелопатил кучу кода на встроенные модификаторы и они теперь рандомно отвалиливаются в 1.3.6
avatar
Я еще с Версии 1.0.8 не рекомендую юзать PHx а за ним и модификаторы проще снипет IF ))

по части Модификаторов и phx пишите на Github Яме. Это он встроил это в ядро, поэтому ему и разбираться почему они не работают. Я предпочитаю обходиться без них поэтому все проекты которые делаю работают стабильно)) А если еще и не юзать Дитто то вообще мега стабильная система с версии 1.3.0 только досадный баг с безопастностью :(
avatar
IF — не вариант.
Нужны встроенные фильтры в ядре, которые работают везде. Тем более IF не дает функционала изменения или обработки значения…
Сейчас по факту то, что было переписано с PHx на 1.3.3 на встроенные — отвалилось пачками, и это уже немного начало напрягать
avatar
Нафиг Ditto, у меня он еще с прошлого раза не заработал на всех обоих сайтах, где он еще был :)
avatar
А что вы используете вместо Ditto?
avatar
DocLister )
docs.evo.im/extras/doclister.html
avatar
Здесь чего-то не работает TransAlias (не создаются псевдонимы), а также ManagerManager (со стандартным чанком mm_rules в документах нет вкладки SEO). У кого-нибудь ещё наблюдается такое дело?
avatar
Как можно хотя бы временно отключить ВОТ ЭТО?

Достало! Происходит при выделении текста любого элемента с передвижением мыши за пределы текстового поля
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.