Traduction libre de l'article VirtueMart 3.2.6 - Security Release and overhauled infrastructure
Une vulnérabilité mineure de type XSS (cross-site scripting) est présente dans les versions antérieures à la version 3.2.6. Elle se produit lorsque les fonctions feeds et search ont été utilisées ensemble et uniquement si le flux RSS est activé. La faille ne se produit pas si vous désactivez les fonctions de flux dans les versions antérieures. La création d'URL de la fonction de flux utilisait un appel incorrect de la fonction JRoute et le javascript js peut être exécuté. Le problème est maintenant corrigé en utilisant notre fonction getCurrentUrlBy, qui fonctionne avec une liste blanche pour les noms de variables et qui urlencode n'importe quelle valeur.
Nouvelles fonctionnalités de VirtueMart 3.2.6
Le plugin vmLoaderPluginUpdate redirige maintenant l'inscription Joomla vers l'inscription VirtueMart. La raison est que lors de l'inscription Joomla il manque toujours l'adresse et d'autres informations nécessaire à VirtueMart. Cette inscription ne devrait pas être utilisé. Le plugin fournit un paramètre pour le désactiver.
Les champs personnalisés natifs de type S ou M peuvent maintenant utiliser le modificateur de prix en pourcentage.
Le plugin d'expédition fonctionne maintenant avec plusieurs pays.
Le gestionnaire de médias a une nouvelle fonction importante: la suppression du média physiquement (pas seulement de l'entrée dans la table) et les vignettes sont également supprimés automatiquement. Des contrôles de sécurité supplémentaires ont été ajoutés.
Corrections apportées dans VirtueMart 3.2.6
- Correctif important pour éviter les fuites de mémoire lors du changement de langue.
- usermodel: vérification supplémentaire si l'utilisateur a déjà chargé le bon identifiant.
- Le layout order_done renommé en orderdone pour pouvoir créer un élément de menu.
- Nouvelle fonctionnalité customfield de type S et M ont maintenant un nouveau paramètre, qui permet le prix ajouté en pourcentage.
- Ajout de la redirection par plug-in système "vmLoaderPluginUpdate" pour le registre et la connexion.
- Le plugin d'expédition montre maintenant aussi plusieurs pays.
- vmJsApi, corrige le langage correct du datpicker.
- Le mediahandler a maintenant une fonction deleteAllThumbs (fonctionne avec regex, peut supprimer accidentellement trop de vignettes ce qui n'est probablement pas important.
- Le modèle de fabricant getVendorAddressFields ne fonctionne plus avec l'ID interne .
- La liste des catégories BE conserve la catégorie sélectionnée.
- Correctif très important pour les multivariants, qui perdaient dans certaines conditions, l'option parent, lors du passage à un enfant.
- Ciblage dépendant du langage.
- Fichier d'installationinstall.sql, NULLs supprimés pour les groupes de produits booléens, (comme en vedette, abandonnées, ...)
- Plus de sécurité pour la fonction getMyOrderDetails.
- Amélioration du plugin de recherche.
- Suppression des doubles // dans la fonction displayLogos dans vmpsplugin.php.
- Fonction changeShopper, l'adresse n'est pas pré-remplie avec les données d'utilisateur de l'utilisateur de commutation (dans le cas où l'adresse n'est pas fournie).
- Correction de l'autorisation de lien du gestionnaire frontal dans le compte de l'utilisateur.
Liste complète des modifications de VirtueMart 3.2.6
Changements sur le site VirtueMart.net
Un groupe de travail dirigé par Stefan Schumacher a finalement mis à jour notre site virtuemart.net vers joomla 3.8.
Dernièrement, beaucoup de gens ont également remarqué le problème avec notre certificat SSL, publié par StartCom. Initialement, Google avait annoncé la révocation de la confiance sur les certificats émis par StartCom après le 21 octobre 2016. Notre certificat générique couteux avait été émis avant cette date, il n'était donc pas nécessaire d'agir. Malheureusement, Google a également abandonné la confiance pour tous les anciens certificats WoSign et StartCom avec la sortie de Chrome 61. Si vous voulez lire plus de détails à ce sujet, jetez un oeil à https://wiki.mozilla.org/CA:WoSign_Issues.
Nous avons donc décidé d'utiliser Let'sEncrypt à la place, qui ne nécessite aucune maintenance avec Certbot installé. Mais nous devions mettre à jour notre serveur principal complètement. Pour cela, nous avons reçu une aide fantastique de Sören Eberhardt-Biermann, le fondateur de VirtueMart. Tous les systèmes sont enfin mis à jour et fonctionnent avec les dernières versions. Par conséquent dev.virtuemart.net fonctionne maintenant avec la dernière version de redmine et notre serveur SVN a également été mis à jour. Le serveur de messagerie a également été mis à jour, l'ancienne version avait parfois des problèmes. Et surtout, nous avons également mis à jour à php7.
