Версия 4.5.1 - 24.10.2012

-Fix path encoding in breadcrumb
-Fix sharing of files with special characters
-Fix upercase/lowercase probelm in usernames with WebDAV
-Fix LDAP plugin with Postgres
-Fix userID migration
-Fix sharing of mounted Files
-Delete userfiles after deleting a user
-Make Webinterface work with nonstandard path
-Fix retrieval of Quota, Email via LDAP
-Show a warning in installer if .htaccess is not working
-Fix Shared folder caching
-Increase security by using openssl random number generator
-Fix syncing of rollback files
-Fix the swift files backend
-Disallow user to delete own account
-Security: Fix multiple XSS vulnerabilities (oC-SA-2012-001)
-Security: Fix a timing attack in the “Lost Password” implementation (oC-SA-2012-002)
-Various smaller fixes

Скачать - Download: owncloud-4.5.1.tar.bz2 [8,76 Mb] (cкачиваний: 888)
MD5: owncloud-4.5.1.tar.bz2.md5 [88 b] (cкачиваний: 177)

Версия 4.5.0 - 10.10.2012

Потрясающий релиз, который включает очень полезные нововведения, рассмотрим каждое по очереди.

Монтирование внешних накопителей: Администраторы теперь могут монтировать внешние облачные накопители (Dropbox, Google, Swift, S3 и др.) и решать, будут ли они доступны всем пользователям, группе или конкретному пользователю. Теперь пользователи могут делать то же самое, обеспечивая единую синхронизацию файлов и разделять возможности на несколько облачных сервисов, используя ownCloud в качестве единой точки доступа.

Быстрая синхронизация: Используя уникальный идентификатор и алгоритм, механизм синхронизации теперь сравнивает файлы и папки по идентификатору синхронизации, а не штампу времени. Это избавляет от необходимости проводить синхронизацию настольного компьютера и сервера, а также имеет дополнительное преимущество, резко снижая нагрузку на сервер ownCloud.

Внутренние Администраторы для групп: Администраторы теперь могут назначить одного или нескольких администраторов в группах в системе ownCloud, что позволяет специальная группа доступа и упрощенная система обмена между сотрудниками, подрядчиками, поставщиками и партнерами.

Файл версий: Загрузка файла с совпадающем именем файла в ownCload через веб-интерфейс теперь будет генерировать новую версию файла, и отображать загруженный файл в качестве новой версии.

Расширение сети: пользователи получили улучшенные решения для работы, когда они делятся файлами. Можно изменять и удалять файлы, назначать права, устанавливать время доступа, а также пароль на доступ к файлу по URL.

Улучшенный календарь - Импорт и экспорт событий календаря полностью переписан, чтобы исправить проблемы совместимости, работайте с повторяющимися событиями спокойно и быстро.

Синхронизация общей адресной книги. Адресные книги теперь можно синхронизировать с другими устройствами.

Перемещайте контакты между адресными книгами: Когда используются несколько адресных книг, контакты могут быть перемещены или скопированы легко.

Impress: С помощью приложения Impress, загрузка файлов и просмотр презентаций стал динамичней, веселей и интерактивней.

Скачать - Download: owncloud-4.5.0.tar.bz2 [8,72 Mb] (cкачиваний: 226)
MD5: owncloud-4.5.0.tar.bz2.md5 [88 b] (cкачиваний: 86)

Версия 4.0.8 - 10.10.2012

-Show Login Button when user and password are autocompleted
-Sanitize LDAP base, user and groups
-Security: Fix for insufficiently Random Values (CVE-2008-4107)
-Security: Fixed multiple XSS vulnerabilities (CVE-2012-5056)
-Security: Fixed a HTTP header injection (CVE-2012-5057)
-Security: Fixed an Auth bypass in /lib/base.php (CVE-2012-5336)

Скачать - Download: owncloud-4.0.8.tar.bz2 [3,27 Mb] (cкачиваний: 99)
MD5: owncloud-4.0.8.tar.bz2.md5 [57 b] (cкачиваний: 86)

Дата публикации: 9.10.2012
Опасность: Средняя
Наличие исправления: Да
Количество уязвимостей: 2
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Наличие эксплоита: Нет данных
Уязвимые продукты: Oxwall 1.*

Уязвимые версии: Oxwall до 1.4.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности на целевой системе.

1. Ошибка связанная с безопастностью в Группах Пользователей;

Примечание: Уязвимость № 1 распространяется на Oxwall версии до 1.4.1.

2. Возможность XSS атак в вопросах профиля.

Примечание: Уязвимость № 2 распространяется на Oxwall версии до 1.4.1.

URL производителя: http://oxwall.su/

Решение: Для устранения уязвимости установите продукт версии 1.4.1 с сайта производителя.

Ссылки: http://oxwall.socengine.ru

Состоялся новый релиз SocialEngine PHP 4.2.7.

Основные характеристики:

-Решена проблема с уязвимостью XSS в видео-тегах и полях профиля.
-Приватные элементы теперь скрыты на просмотра для плагинов. Ранее такие элементы, как фотографии были видны на этих страницах, даже если были отмечены как скрытые.
-Теперь можно дублировать страницы при создании новой страницы. Мы также сделали то же самое для групп пользователей.
-Исправлена ошибка с обновлением фраз для перевода, улучшен RSS виджет и алфавитные категории в поиске.

Есть вопросы? Оставьте нам комментарий ниже или свяжитесь с нами на форуме.

С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений.

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.