Messages

Pretpostavljam da je nakon nadogradnje na 3.6.3 jer je to jedan od poznatih problema: https://docs.joomla.org/J3.x:Can%27t_edit_modules_after_update_to_3.6.3

Izbriši browser cache i pokušaj ponovo.

[sigurnosno izdanje]

Joomla! 3.6.4 je objavljena. Ovo je sigurnosno izdanje za Joomla 3.x seriju. Ovo izdanje ispravlja dvije kritične sigurnosne pogreške i ispravak buga kod dvofaktorske autentikacije.
Jako preporučamo da nadogradite svoje Joomle 3 što je prije moguće.

Što sadrži 3.6.4?
Izdanje 3.6.4 ispravlja dvije kritične sigurnosne pogreške i bug nastao u 2FA (dvofaktorskoj autentikaciji) u Joomli 3.6.3.


Ispravljeni sigurnosni propusti

• Visoki prioritet - Core - Izrada korisničkog računa (zahvaća Joomla! 3.4.4 do 3.6.3) - više informacija
• Visoki prioritet - Core - Podizanje korisničkih prava (zahvaća Joomla! 3.4.4 do 3.6.3) - više informacija

Ispravljeni pogrešaka u kodu

• #12497 - Ispravak enkripcije kod dvofaktorske autentikacije, problem koji je onemogućio sve korisnike 2FA da se prijave na svoj website nakon nadogradnje na 3.6.3

Za poznate probleme s Joomla! 3.6.4 izdanjem pogledajte Verzija 3.6.4 FAQ na stranici s dokumentacijom.

VAŽNO! Update s Joomli 3.4.x ili 3.5.x na 3.6.4 ne možete raditi putem Extension Managera! Koristite Update funkciju ili ručnu nadogradnju kako je opisano u dokumentaciji.



Preuzimanja
Nove instalacije: Kliknite ovdje za download Joomla 3.6.4 (Puni paket) »
- nove upute za instalaciju i tehnički zahtjevi

Nadogradnja: Kliknite ovdje za download Joomla 3.6.4 (Paket nadogradnje) »
- napomena: molimo pročitajte upute za nadogradnju prije nadogradnje.
- molimo ne zaboraviti isprazniti cache preglednika nakon izvršene nadogradnje


Ogroman Hvala! za sve naše volontere!

Zahvaljujemo članovima Joomla JSST tima koji je promptno ispravio ove pogreške.


Napomena autora ove obavijesti

Ja kao programer, kojeg osobito interesira segment informacijske sigurnosti web aplikacija, član OWASP-a, prijavio sam svoju zabrinutost vezano za ispravak patch koji ispravlja bug vezan za enkripciju konfiguracijskih podataka za dvofaktorsku autentikaciju. Patch sadržan u git pull requestu #12497 (link vidi gore) ujedno i isključuje enkripciju privatnog tajnog ključa koji sustav dobiva od Google Authenticator aplikacije. Prema RFC 6238 kod implementacije se strogo preporuča da se tajni ključ za generiranje vremenski baziranih jednokratnih lozinki od 6 brojeva (TOTP) sprema enkriptiran. Moje detaljno objašnjenje možete pronaći na na službenom GitHub Bug Trackeru.
Moja preporuka je da imate na umu da je trenutni način zapisivanja tajnog ključa promjenjen i zapisuje se kao neenkriptirani tekst. Ako se netko dokopa backupa baze biti će u mogućnosti sam generirati iste šestobrojne jednokratne lozinke kao i vaš Google Authenticator! Time je poništena korisnost 2FA sve dok se ovo ne ispravi i ponovo vrati enkripcija tajnog ključa. Ja ću sada prijaviti ovaj problem direktno JSST timu, iako su članovi tog tima prisutni i na tom ticketu.

Malo je čudno što ti onda Filezilla nije htjela promjeniti.

Kao što rekoh, toplo preporučam WinSCP, što dalje od Filezille

To je "views" folder, mene je zanimao glavni webdir, "public_html"

ORION] link=topic=4894.msg17332#msg17332 date=1477397821]provjeri koji UID ima korisnik koji je vlasnik mape "public_html"

Dobar dan Djuza,

da li tu situaciju imaš odmah nakon instalacije svježe Joomle ili se to dogodilo u nekom trenutku?

Koju točno grešku dobivaš? Screenshot?

Jesi pokušao s vraćanjem baze iz backupa?

Eh, mogao sam i misliti da je Filezilla u pitanju s "00"  forom. Filezilla developer uvijek ima "fiks ideje" ... toplo preporučam da svi koji još koriste Filezillu istraže malo o njenim upitnim sigurnosnim pristupima. Prvenstveno spremanje lozinki u neenkriptiranom formatu. Moja preporuka je WinSCP za Windows korisnike, jednostavno je mnogo bolji i stabilniji alat, podržavaj i SCP protokol itd itd. Linux i Mac korisnici imaju mnoge druge opcije.

Ako ne možeš sam promjeniti dozvole na toj mapi ni putem Filezille, ni putem File Managera u Cpanelu, gotovo sigurno tvoj sistemski korisnik (user) na tom serveru nije vlasnik (owner) te mape. ID korisnika (UID) vidi se na tvom screenshotu: 683. Možeš i sam provjeriti da li je tako. U Filezilli Izađi folder iznad ovog, te provjeri koji UID ima korisnik koji je vlasnik mape "public_html" (možeš i ovdje staviti screenshot). Ako UID nije jednak kao na ovoj mapi "categorie"s onda će svakako morati intervenirati hosting provider. Njima je to sitnica za rješiti pa mi nije jasno zašto ti kompliciraju. Možda te nisu shvatili što je problem. Stavi im link na ovaj post  ROFL

Hi Bijesna Majoneza!  ;D

Dozvole na *NIX kompatibilnim sustavima se pišu sa 3 ili 4 znamenke (755, 0755, 000 ...) pa mi baš nije jasno kako i gdje piše "00". Da to nije vlasnik (owner)? Ako nije problem daj nam screenshot iz Filezille ...

Koji to hosting koristiš ako smijem pitati? Oni su ti to mogli i trebali rješiti jednom jedinom komandom ...

[bug-fix izdanje]

Joomla! 3.6.3 je objavljena. Ovo je bug-fix izdanje za Joomla 3.x seriju. Ovo izdanje ispravlja pogrešku u kompatibilnosti s prethodnim verzijama nastale Joomlom 3.6.3 kod promjene poretka članaka. Dodatno uključuje i veliki broj malih poboljšanja i ispravaka bugova.

Što sadrži 3.6.3?
Izdanje 3.6.3 dolazi s više od 350 mergeanih PR zahtjeva (Git) i malih poboljšanja u mnogim područjima.

Također su nadograđeni WYSIWYG editori:

• TinyMCE to 4.4.3
• CodeMirror to 5.18.0

Popis ispravljenih grešaka možete pronaći na Github trackeru.

Za poznate probleme s Joomla! 3.6.3 izdanjem pogledajte Verzija 3.6.3 FAQ na stranici s dokumentacijom.

VAŽNO! Update s Joomli 3.4.x ili 3.5.x na 3.6.3 ne možete raditi putem Extension Managera! Koristite Update funkciju ili ručnu nadogradnju kako je opisano u dokumentaciji.

VAŽNO! Pronađena su dva buga nakon nadogradnje na Joomlu 3.6.3 - nemogućnost prijave korisnika koji koriste 2FA prijave i problem s uređivanjem modula. Stoga preporučam da prije nadogradnje isključite 2FA, a nakon nadogradnje ponovo reaktivirate 2FA


Preuzimanja
Nove instalacije: Kliknite ovdje za download Joomla 3.6.3 (Puni paket) »
- nove upute za instalaciju i tehnički zahtjevi

Nadogradnja: Kliknite ovdje za download Joomla 3.6.3 (Paket nadogradnje) »
- napomena: molimo pročitajte upute za nadogradnju prije nadogradnje.
- molimo ne zaboraviti isprazniti cache preglednika nakon izvršene nadogradnje


Ogroman Hvala! za sve naše volontere!

Veliko hvala ide svima koji su doprinjeli kod Joomla! 3.6 izdanja!

Novosti u Joomli 3.6 možete pročitati na posebnoj stranici o Joomli 3.6, kao i popis kontributora na posebnoj stranici zahvale.


Spread the Joomla! Love

Ako tražite službene slike za blog članak, banner za web stranicu ili fotku koju ćete podjeliti na društvenim mrežama? Možete ih pronaći na mnogo jezika u Joomla! Dokumentaciji.

Ovaj put je to službeno i bug u verziji 3.6.3: https://docs.joomla.org/J3.x:Can%27t_edit_modules_after_update_to_3.6.3

[bugfix izdanje]

Joomla! 3.5.1 je objavljena. Ovo je bugfix izdanje za Joomla 3.x seriju. Ovo izdanje ispravlja pogreške pronađene od objave Joomle 3.5.0.

Što sadrži 3.5.1?
Izdanje 3.5.1 rješava neke pogreške pronađene u 3.5.0 objavljene prije 2 tjedna, što uključuje:

• Ispravak pogreške što se root URL ponekad vraćao prazan u kanoničkim URL-ima
• Ispravak pogreške što se trebalo prijavljivati dva puta nako što je isekla korisnička sesija
• Neki SMTP mailovi nisu više mogli slati poruke zbog buga u SMTP email postavkama
• Restarti sesija prouzročavali su PHP greške
• Ispravak pogreške da je insertid() vraćao 0 za PDO MySQL driver
• Ispravak pogreške da Isprazni smeće i Izvadi iz arhive tipke nisu postojale za com_banners

Za poznate probleme s Joomla! 3.5.1 izdanjem pogledajte Verzija 3.5.1 FAQ na stranici s dokumentacijom.

Preuzimanja
Nove instalacije: Kliknite ovdje za download Joomla 3.5.1 (Puni paket) »
- nove upute za instalaciju i tehnički zahtjevi

Nadogradnja: Kliknite ovdje za download Joomla 3.5.1 (Paket nadogradnje) »
- napomena: molimo pročitajte upute za nadogradnju prije nadogradnje.
- molimo ne zaboraviti isprazniti cache preglednika nakon izvršene nadogradnje

Ivane, hvala na proslijeđivanju sample datoteka.

Ako je SWF od poznatog izvora i ne postoji na internetu informacija da ima poznatu sigurnosnu rupu onda možeš pretpostaviti da je sigurno ostaviti ga.

[Jel to trebam obrisati?]

ORION] link=topic=4860.msg17234#msg17234 date=1458680050]

Kod [Odaberi] Expand

In file ./.htaccess-> we found 12 occurence(s) of Pattern #10 - .HTAC RewriteCond-Referer
---> Details: "Your .htaccess file has a conditional redirection based on "HTTP Referer". This means it redirects according to site/url from where your visitors came to your site. Such technique has been used for unwanted redirections after coming from Google or other search engines, so check this directive carefully."

Hi Bernard, ovo iznad mi malo nije jasno. Što da radim s obzirom na ovo

.htaccess file ti je zaražen preusmjerenjima, nedvojbeno ti je website hacknut (ako si sam nisi to postavio  0:) ). Vrlo vjerojatno imaš ubaćen i neki malware jer ove redirekcije su uvjetovane referralom s drugih web stranica.

Ovaj blok sam ja sam postavio zbog spamera. Jel to trebam obrisati?

Zanemari te komentare, kad sam vidio tvoj drugi post s cijelom kopijom redirekcija precrtao sam preporuku i dopisao sam "EDIT" dio. Nadam se da je sad jasnije ;)

Ja sam već obavio detaljno čišćenje i slijedio korake sa ove teme na joomla.org.
.......

Ako si slijedio sve korake od riječi do riječi onda bi trebao imati svježe čiste foldere. Naravno, images/ i media/ foldere si trebao ručno pregledati da nema malware negdje unutra.

Ostalo je nešto što me muči a to je "Session Path Writable" koji navodno treba biti postavljen na YES a u mom slučaju to nije. Pitao sam web hosting kompaniju ali oni po tom pitanju nisu mi pomogli a dobio sam upute da je to postavka koju administrira hosting kompanija (http://forum.joomla.org/viewtopic.php?f=714&t=912918).

Da, to je PHP postavka. Ovisno o hosting panelu (ne) možeš to sam promjeniti. Daj FPA report pa ćemo vidjeti kud to vodi.

ORION] link=topic=4860.msg17234#msg17234 date=1458680050]
Važno pitanje je i kako su napadači upali. ........Koji je originalni problem? Website hackinut? Detalji?

Hm, i mene to zanima. U trenutku upada hakera na web, ja sam imao instaliranu Joomla 345. Vjerojatno je u njoj bio neki bug?
Svi *.php files imali su u sebi na samom početku neki enkriptirani kod (hrpu brojeva i slova).
U jednom folderu našao sam jedan file (cache_a5dc713704.php) koji tamo definitivno ne bi smio biti jer ga ja nisam tamo postavio. Datum kreiranja tog file je 18.12.2015. Ovaj file sadrži isto tako neki enkriptirani kod (poslao sam ga e-mailom na uvid kolegi sa ovog foruma).

Ono što mene najviše muči ovdje je pitanje.
Kako je haker mogao postaviti taj file fizički na server duboko u neki folder?

- putem FTP-a?
ili
- preko neke skripte?

Putem stare Joomle 3.4.5 koja je imala sigurnosne propuste, a nisi na vrijeme nadogradio.

Još imam FTP download *.php zaraženih files i drugih datoteka jer sam nakon saznanja o hakiranju putem FTP skinuo sve datoteke na moj PC. Skinuo sam sve iz Root foldera sa servera.

Slobodno mi pošalji neke uzorke

Nakon svih brisanja i novih instaliranja pokrenuo sam Jamss skriptu i ona se nalazi u ovoj temi u attach ZIP file. Ova skripta je pronašla potencijalne probleme u nekim  *.php i *.html files na web serveru na svježe instaliranoj Joomla348. Također sam Jamms pokrenuo i na svježe instaliranu Joomla 348 na localhostu (čisto za probu)
Danas sam ponovio FPA pa ako treba dodat ću ga ovdje na pregled

JAMSS report ne pokazuje ništa posebno, sve je OK

postaj FPA, ali pošto si sve nadogradio nećemo imati uvid u originalno stanje

Nije problem. Odgovorio mailom ;)

Ma nisam Bruce Springsteen, mislim da on ne zna svirati harmoniku :)

Kod [Odaberi] Expand

In file ./.htaccess-> we found 12 occurence(s) of Pattern #10 - .HTAC RewriteCond-Referer
---> Details: "Your .htaccess file has a conditional redirection based on "HTTP Referer". This means it redirects according to site/url from where your visitors came to your site. Such technique has been used for unwanted redirections after coming from Google or other search engines, so check this directive carefully."

.htaccess file ti je zaražen preusmjerenjima, nedvojbeno ti je website hacknut (ako si sam nisi to postavio  0:) ). Vrlo vjerojatno imaš ubaćen i neki malware jer ove redirekcije su uvjetovane referralom s drugih web stranica.

Pripremi se na detaljno čišćenje websitea. Upute točnih koraka koje trebaš slijediti za čišćenje pronađi ovdje: http://forum.joomla.org/viewtopic.php?f=621&t=582854#p2882538 ... ako treba pomoć oko pojašnjenja ili prijevoda - javi.

Važno pitanje je i kako su napadači upali. Da bismo mogli vidjeti stanje tvoje joomle i ekstenzija, te hosting okruženja, molim izvrši FPA i ovdje objavi generirani rezultat http://forum.joomla.org/viewtopic.php?f=714&t=793531

EDIT: tek sad vidim tvoj drugi post sa cijelim blokom redirekcije. Prema tome ovaj dio u .htaccessu nije redirekcijski hack.
Koji je originalni problem? Website hackinut? Detalji?

[Joomla 3.5]

Joomla! Tim za vodstvo Projekta i Produkcije ponosno je najavio da je objavljena Joomla 3.5 kao posljednja podverzija u 3.X seriji. Nova verzija predstavlja 34 nove funkcionalnosti, uključujući podršku za nedavno obljavljen PHP 7 programski jezik, koji bitno povećava brzinu web-stranica.

Ova Joomla! verzija podržava najnovije izdanje PHP-a, najpopularnijeg programskog jezika za razvoj web aplikacija. Nedavno je objavljen PHP 7 sa značajnim poboljšanjima performansi i sada je dostupan za javno korištenje. S Joomla! verzijom 3.5 korisnici sada možete uživati u poboljšanim performansama najnovijeg PHP-a.

Joomlin novi plugin za slanje e-mail obavijest o ažuriranjima povremeno će provjeravati dostupnost Joomla! ažuriranja i ispravaka programskih pogrešaka, a zatim poslati e-mail administratorima da ih obavijesti. 3.5 donosi i novi plugin za prikupljanje statističkih podataka o hosting okruženju u uporabi. Sirovi podaci koji budu prikupljeni biti će učinjeni anonimnima prije prijenosa, a javno će biti dostupni na https://developer.joomla.org/about/stats.html.

Osim navedenih novih funkcionalnosti, ostale značajne novosti verzije 3.5 uključuju:

• Preuzimanje informacija o operativnom sustavu i hosting okruženju: korisnicima daje mogućnost preuzimanja navedenih informacija u svrhu podrške
• Mogućnost dodavanja korisničko CSS datoteke u Protostar predložak: do sada nije bilo moguće koristiti custom.css datoteku kada koristite Protostar predložak. Ovo ažuriranje dodaje provjeru da li postoji datoteka user.css i učitava datoteku kako bi se omogućilo korisničke prilagodbe
• Dodani front-end i back-end linkovi na modulu za korisnike: dodan je prekidač na mod_status modulu za prikaz/skrivanje veze na front-end i back-end web stranice
• Brojanje članaka: skup promjenaa u kodu koje omogućuju vizualnu prezentaciju objavljenih, neobjavljenih i arhiviranih članaka u Upravitelju Kategorijama za članke, bannere, kontakte i feedove vijesti
• Slučajni raspored u kategorijskom, blog i popisnom pogledu: ovo ažuriranje rješava česti zahtjev korisnika za opcijom za slučajan poredak članaka u prikazu kategorije, blog i popis
• Tipke Uređivača dodane na Alatnu Traku: Više ne morate scrollati prema dnu stranice da biste pronašli "pročitaj više" ili "ubaci sliku" tipke. Tipke proširenja za Uređivač koje su bile smještene ispod područja za unos teksta sad mogu biti pronađene u alatnoj traci, gdje i pripadaju.
• Jednostavno umetnite module u članke: korisnicima je sada omogućeno da jednostavno dodaju modul u članak putem tipke na alatnoj traci Uređivača. Korisnici ne moraju naučiti bilo kakvu sintaksu ili zapamtiti pojedinosti o modulu jer korisničko sučelje to odrađuje za njih
• Povuci i Ispusti slike: dodavanje slike je sad jednostavan potez "povuci i ispusti" iz vašeg računala direktno u sadržaj. To djeluje na svim mjestima gdje koristite standardni TinyMCE WYSIWYG Uređivač

Za pregled potpunog popisa funkcionalnosti molimo posjetite naš GitHub repozitorij.


Preuzimanja
Nove instalacije: Kliknite ovdje za download Joomla 3.5.0 (Puni paket) »
- tehnički zahtjevi
Nadogradnja: Kliknite ovdje za download Joomla 3.5.0 (Paket nadogradnje) »

Napomena: molimo pročitajte upute za nadogradnju prije nadogradnje ili upute za nadogradnju specifične za 3.4 na 3.5 nadogradnju.

Molimo ne zaboravite isprazniti cache preglednika nakon izvršene nadogradnje

Ako pronađete bug u Joomli molimo prijavite ga na službeni Bug Tracker


Veliko Hvala našim volonterima!
Veliko hvala ide svima koji su pridonjeli objavi verzije 3.5! Preko 2200 commit-ova je poslano od objave Joomla! 3.4.8 verzije prošle godine. Popis učesnika u razvoju pronađite na https://www.joomla.org/3/joomla-3-5-thankyou


Spread the Joomla! Love
Ako tražite službene grafičke materijale za vaše blogpostove, banner na websiteu ili fotografiju za dijeljenje na društvenim medijima? Sve to možete pronaći ovdje.