d'après la traduction libre d'un article écrit par Max Milbers le 17 Avril 2015.
Version de sécurité VM 3.0.8
Enfin après quelques versions intermédiaires, voici la sortie de VirtueMart 3.0.8.
Tous les correctifs ont déjà été fournis avec VM 3.0.6. https://github.com/80vul/phpcodz/blob/master/research/pch-020.md). ">En outre, nous avons publié VM 3.0.6.2 pour minimiser les problèmes de sécurité, provenant de PHP même.
Les deux autres vulnérabilités étaient mineurs (non persistant XSS) et décrites ici:
... / 8692 / diff / trunk / virtuemart / administrator / components / com_virtuemart / helpers / vmpagination.php
... / 8692 / diff / trunk / virtuemart / administrator / components / com_virtuemart / modèles / product.php.
Alors qu'est-ce qui s' est-il passé durant ce temps ?
Eh bien, nos chers collègues développeurs Joomla nous ont occupé un peu plus que d'habitude. :-) Nous avons été forcés par ceratines circonstances de faire paraître des versions provisoires mineures. Tout d'abord, nous avons dû réagir rapidement à différents problèmes dans Joomla. Par exemple, en Février, nous avons été informés par "Appcheck NG", que nous avons distribué le fichier dangereux »de uploader.swf 'dans notre Joomla 2.5.x / 3.0.x VM installateur complet. Après quelques recherches, il est devenu clair que le fichier a été encore distribué par Joomla et n'a été supprimé lorsque les utilisateurs ont mis à jour Joomla. Le fichier a été connu comme dangereux depuis J2.5.10, mais il est toujours présent dans le programme d'installation de J2.5.28. Donc, nous avons supprimé le fichier de notre offre et ajouté une fonction de suppression pour notre fonction "installer" et mis à jour les versions VirtueMart 2.6.16+ et 3.0.6+ pour nous assurer que le fichier est supprimé.
Quelques jours plus tard, après que nous avons ajusté la barre d'outils javascript pour Joomla 3.4.0, la version 3.4.1 a été publiée, et a brisé les validation.js du bouton 'Enregistrer' de la barre d'outils. Les raisons étaient «optimisations» et «reportabilités» des changements de questions prioritaires faibles. À notre humble avis, la raison en est sans doute la nouvelle stratégie de sortie de Joomla, de ne pas avoir de version à long terme et à court terme. Nous nous apprécions que Joomla ait laissé tomber le STR et le système LTR, mais le nouveau système semble manquer de règles claires à propos du type de fonctionnalités autorisées à être ajoutée dans une version de mise à jour mineure. Je pense que la communauté VirtueMart s'est déjà brulé les doigts par la mise en œuvre constante de nouvelles fonctions. Il nous a fallu quelques rejets pour recueillir son sentiment et c'est une question d'expérience et de règles. Joomla dispose d'une équipe plus "mutationniste" que VM, il vaudrait mieux pour l'équipe Joomla de préciser ces règles. Il est très intéressant de voir de quelle façon la communauté Joomla fera face à cette situation. D'un point de vue des développeurs, de par le passé, nous n'avions comme contrainte de n' assurer la compatibilité que pour les versions majeures, comme j1.0, 1,5, -2,5, 3,3. À l'heure actuelle, il semble que nous ayions à faire face aux versions mineures comme 3.4.x, 3.5.x et ainsi de suite, également. Ou pour le dire crûment: Joomla devient instable. Pour un développeur moyens stables / instables ne signifie pas seulement que l'exécution du programme est stable, cela signifie, habituellement , également que le programme se comporte de la même manière que précédemment.
J'ai écrit ce qui est ci-dessus il y a 1 semaine, et en attendant, nous souffrons de nouveaux problèmes avec le routage de la langue dans Joomla 3.4.1, un nouveau problème avec les urls canoniques et d'autres choses encore. Espérons donc que tout ce qui concerne le routeur actuellement ouvert / corrections SEF, visibles au issues.joomla.org/tracker/joomla-cms/?category=router-sef sera testé et fusionné dans Joomla dès que possible. Un nouveau système de routeur semi valable crée de nombreux problèmes pour nous.
Depuis il ya encore des vérifications de sécurité pour Joomla 2.5.28, même après la fin de vie annoncée, nous recommandons actuellement pour les magasins multilingues, de rester avec Joomla 2.5.28 jusqu'à ce que nous ayons une version Joomla! 3.4.x stable ou attendre une version 3.5. Notre adhésion Supporter implique un contrat de maintenance de sécurité et assure un système stable et sécurisé.
Comme de nombreux magasins en activité, sont en Joomla 5.2.28, cela ne signifie pas que le système n'est pas adaptable au mobile. Il ya de nombreux modèles sur le marché qui offrent toutes les fonctionnalités conviviales pour mobiles, nécessaires, pour disposer d'un système e-commerce, à jour, avec une architecture Joomla 2.5 fiable.
Nous avons vraiment travaillé dur sur la nouvelle version et, par ailleurs, sur la correction de bugs, et nous avons également ajouté quelques fonctionnalités.
Le modèle de vmbeez est maintenant compatible mobiles (Bravo à Stefan Schumacher)
Nouvelle option pour Multivariantes, qui crée automatiquement le champ personnalisé "string" sélectionné parmi les champs enfants pour vous. C'est très important pour les plugins de recherche
plusieurs variantes indiquent les bons numéros de lignes (pour la recherche par page)
Les données d'exemple actualisées avec de nouvelles images
http://dev.mysql.com/doc/refman/5.7/en/is-null-optimization.html ">plus de déclarations sql "non nul", ajoutées http://dev.mysql.com/doc/refman/5.7/en/is-null-optimization.html
Solutions de secours pour IE9, divers js, valeurs de configuration manquantes et similaires
Le nom de la catégorie comprend des touches de langue vmText
Ajout d'une option supplémentaire pour "is_list» pour les customFields S et M
La manipulation dans le panier Adresse est renforcée
Exemple pour rendre le code plus robuste : la création de produits enfants était limitée en raison de la recherche d'alias (pas plus de 20 essais). La nouvelle fonction utilise l'alias du plus récent enfant généré pour trouver le nouvel alias.
Un autre exemple: Ajout de la fonction ensureUniqueId pour garder tous les id des balises html pour assurer des id de tags uniques (pas encore implémenté pour toute fonction html)
ou encore Vmprices addtocart fonctionne maintenant également avec l'entité bouton, pas seulement avec entrée
ajoutée vRequest :: vmSpecialChars sans double encodage, la raison est que lang peut être une commande en php (merci à Kainhofer pour cette supposition et pour son patch)
et beaucoup plus encore... vous pouvez vérifier sur le dépot, par vous-même : dev.virtuemart.net/.../trunk/virtuemart
En outre, nous avons publié la nouvelle vm2.6.18, qui corrige seulement les bugs mineurs.
télécharger VirtueMart 3.0.8, version de sécurité
