Вышло обновление сразу для двух веток Movable Type, включающее исправление проблем с безопасностью (при определённых условиях посторонний человек мог читать, создавать или изменять контент в системе). Рекомендуется установить это обновление как можно скорее.
Скачать новую версию:
- Movable Type 4.361 в zip-архиве
- Movable Type 4.361 в tar.gz-архиве
- Movable Type 5.11 в zip-архиве
- Movable Type 5.11 в tar.gz-архиве
Скачать только изменённые файлы (в сравнении с 4.36 и 5.1):
В новой версии появилась директива DeniedAssetFileExtensions. С её помощью можно указать запрещённые для загрузки расширения файлов. По умолчанию запрещены следующие:
- ascx, asis, asp, aspx, bat, cfc, cfm, cgi, cmd, com, cpl, dll, exe, htaccess, htm, html, inc, jhtml, js, jsb, jsp, mht, mhtml, msi, php, php2, php3, php4, php5, phps, phtm, phtml, pif, pl, pwml, py, reg, scr, sh, shtm, shtml, vbs, vxd
Кроме того, в 4.361 появилась директива AssetFileExtensions, которая раньше была только в пятой версии. AssetFileExtensions — это белый список разрешённых расширения для загружаемых файлов. Всё, что не входит в этот список, будет запрещено к загрузке. По умолчанию этот список пуст.