LokiCMS 0.3.4
Changelog:
- LokiCode es compatible con bbcode
- menu.cfg se ha trasladado a includes como menu.csv
- arreglados problemas de validación w3c en el panel de admin
- otros fixes pequeños
LokiCMS 0.3.4 (zip 55,2kb) (Inglés)
Aparentemente, no incluye el archivo de idioma al español (es lo que me dijeron, realmente no tuve tiempo de verlo) asi que en un tiempo, pondré dicho archivou acá. Desde la próxima versión (0.3.5) se va a incluir el mismo en el release oficial, según me comento uno de los desarrolladores. Por lo tanto no va a haber necesidad de bajar otro release aparte o el archivo de idioma por separado.
LokiCMS 0.3.4 beta1
La última versión (beta) ya está disponible para su descarga.
Francamente, no se que cambios le hizo DarkLoki al script porque el changelog es identico al anterior. Si mas tarde hablo con el, edito el post.
Desde la versión anterior (0.3.3), LokiCMS incluye soporte para varios idiomas asi que supongo que el laburo de traducción será mínimo (o nulo). Quizás alguna frase nueva o el tipico error de los carácteres especiales (escribi un fix para eso, espero lo haya agregado).
Update (10/05/08):
Changelog:
- chequeo de versión centralizado
- funciones scandir para php4 arregladas y mejoradas
- añadida la carpeta image
- 2 fixes de CSS
- nueva función displayLanguagesHtmlOption
- el idioma ahora cambia inmediatamente en el panel de admin
- arreglado el uso incorrecto de fclose()
- arreglada la activación de páginas
- añadida la función renameMenuItem
- fixs de segurdidad/exploits
- MUCHOS fixes pequeños
Vulnerabilidad en LokiCMS
Hay un bug en casi todas las versiones de LokiCMS hasta la última (0.3.3) que permite inyectar código en el archivo de configuracion (config.php). El exploit modifica la linea que carga la página por defecto y reemplaza el valor actual por uno predefinido. Al no existir la página, el script no carga correctamente y muestra un error al acceder.
Como prevención, lo unico por hacer es sacar los permisos de escritura sobre config.php (chmod 644), una vez que hayas definido una configuracion. Solamente eso.
Si ya sufriste este tipo de ataque, la página principal devuelve un error como este:
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in /home/***/config.php on line 8
En ese caso, abris el config.php, y en la línea $c_default ingresas (entre comillas) la página por defecto que estaba anteriormente. Despues, le quitas los permisos de escritura como se describe arriba, para evitar cualqueir ejecución futura de la vulnerabilidad.
Supongo que en la próxima version habrá un fix o algo, pero, por ahora, con quitar los permisos de escritura sobre el archivo de configuración es más que suficiente.
LokiCMS 0.3.3
La última versión del CMS ya está disponible para la descarga, en su idioma original (inglés).
Ahora trae soporte para varios idiomas y seguramente tiene algunos cambios menores (todavia no tuve tiempo de verlo).
Cuando tenga tiempo, hago la traducción y actualizo la web.
EDIT: El archivo básico que contiene la traducción ya lo pueden bajar de acá (archivo adjunto). Si quieren el release completo, esperen que en 1 o 2 dias lo subo.
EDIT 2: El ultimo release traducido ya se encuentra disponible para la descarga.
