E' stato rilasciato il 4 luglio 2017 l'aggiornamento di Joomla che porta il CMS alla versione 3.7.3.
Questo aggiornamento di sicurezza viene rilasciato dopo circa un mese dall'ultimo rilascio e risolve 3 vulnerabilità di cui 2 di alto livello e 1 di basso livello.

L'aggiornamento è per le versioni 3.x di Joomla e risolve problemi di sicurezza oltre a 230 piccoli bug con cui abbiamo dovuto convivere in questo lasso di tempo.
Considerate le vulnerabilità che risolve si suggerisce di procedere ad un aggiornamento del proprio CMS.

La procedura di aggiornamento automatica utilizza il pacchetto "Joomla_3.7.3-Stable-Update_Package.zip" da 11 Mb che contiene praticamente tutti i file di Joomla.
Se stai aggiornando dalla 3.7.2 è disponibile il pacchetto più leggero "Joomla_3.7.2_to_3.7.3-Stable-Patch_Package.zip" da 2 Mb e può essere installato manualmente dal componente "Aggiornamento di Joomla" --> "Carica e Aggiorna".

Principali bug fixati nella versione 3.7.3 di Joomla

Security Issues Fixed

• Core - Information Disclosure (affecting Joomla 1.7.3-3.7.2) More information »
• Core - XSS Vulnerability (affecting Joomla 1.7.3-3.7.2) More information »
• Core - XSS Vulnerability (affecting Joomla 1.5.0-3.6.5) More information »

Bug Fixes

• Calendar fixes #16794
• Fix frontend menus of menu type "main" or "menu" and backend main menu #16577
• Tags: Respect Browser Page Title in view Tagged Items #16773
• Adding thumbs file names in Media Manager #16769
• Remove PHP memory_limit from max upload size calculation #16741
• Fix custom fields without a fieldgroup not being displayed #16705
• Update tinymce to 4.5.7 #16042
• Visita GitHub per la lista completa dei bug fixes.

Come aggiornare a Joomla 3.7.3

Prima di iniziare la procedura di aggiornamento è sempre necessario:

1. mettere il sito in modalità offline così che non vi siano utenti che operano durante l'aggiornamento
2. fare un backup completo del sito che includa file e database
3. verificare online la compatibilità di ciascun modulo, plugin, componente e template in uso
4. informarsi sulle novità introdotte con quell'aggiornamento

Dopo aver fatto quanto sopra si può procedere come segue.

Come avviene da svariati mesi a questa parte, quando è disponibile un aggiornamento, il sistema segnala la disponibilità di un aggiornamento agli utenti che accedono al back office con le proprie credenziali amministrative. Apparirà infatti un alert su sfondo rosso con il comando "aggiorna adesso" che conduce l'amministratore verso il componente Aggiornamento di Joomla. (foto qui sopra di esempio)

Nello step successivo la schermata permetterà all'utente di vedere da quale a quale versione di Joomla sta passando in modo tale da assicurarsi che tutti i componenti, plugin e moduli che ha sul proprio sito siano compatibili con la nuova versione. (qui accanto un esempio)

Visualizzate tutte le informazioni si può procedere all'aggiornamento premendo il tasto azzurro "Installa l'aggiornamento". Il componente di aggiornamento eseguirà tutte le operazioni necessarie mostrando una barra di avanzamento (vedi immagine qui sotto).
In questa fase non chiudere la finestra, attendi pazientemente che la procedura giunga al termine e che Joomla mostri un alert verde di conferma di completamento delle operazioni.

Una volta terminate le operazioni Joomla ti dirà "Il tuo sito è stato aggiornato. Ora la tua versione di Joomla è la 3.7.3."

Concluse le operazioni di aggiornamento non dimenticare di disattivare la modalità offline del sito e testare che tutto funzioni correttamente.

Fai fare gli aggiornamenti a chi li sa fare

Se non sei sicuro di ciò che stai facendo o di come farlo, non farlo. Abbiamo già visto siti rovinati per aggiornamenti eseguiti male. Chiedi ora la nostra consulenza, saremo felici di supportarti. Contattaci cliccando qui.

Attenzione

L'aggiornamento modifica il database. E' quindi indispensabile che si segua la procedura indicata e, in nessun caso, aggiornare il CMS dall'FTP.

Problemi noti in questa versione di Joomla 3.7.2

• La funzionalità "Batch" (azioni multiple) che permette di copiare più categorie o articoli contemporaneamente non mantiene le proprietà ACL degli stessi e gli eventuali campi aggiuntivi. Gli elementi copiati si ritrovano le ACL dei permessi in configurazione standard e nessun valore nei campi aggiuntivi. Problema simile nel nuovo componente Associazioni multilingua dove la copia dell'articolo di riferimento non mantiene le eventuali modifiche nelle ACL dei permessi e gli eventuali campi aggiuntivi. Issue 8600
• La funzionalità "Invia per mail", presente in frontend per gli articoli, non funziona correttamente se è abilitata la cache del sito. Issue 8582
  Nella configurazione del plugin "Editor - TinyMCE" di default tutti i settaggi fanno riferimento al SET2 che è quello riferito al gruppo utenti "Public" quindi è bene ricordare di impostare sempre prima il SET0 per modificare e salvare le impostazioni che vogliamo ritrovare nell'uso dell'editor come super amministratori. Altrimenti rischiamo di salvare le impostazioni e non verificarne poi l'effetto usando l'editor come admin perchè abbiamo cambiato le impostazioni solo per il SET2 per il gruppo Public. Issue 14789
• Sempre nella configurazione del plugin "Editor - TinyMCE" nelle opzioni "Avanzate" il parametro "Larghezza HTML" non ha alcun effetto, l'interfaccia dell'editor rimane sempre al 100% come larghezza. Issue 14835
• Ancora per l'Editor - TinyMCE è necessario ricordare che aggiornando alla 3.7 appare nel pannello di controllo questo messaggio in tutte le pagine dove è presente l'editor: Attenzione Il Plugin Editor TinyMCE è stato aggiornato. Attualmente utilizza la configurazione esistente. Modificando il plugin, puoi assegnare e personalizzare vari layout a specifici gruppi di utenti. Quindi anche solo salvando il plugin Editor - TinyMCE (operazione necessaria anche solo per far sparire il messaggio) tutti i gruppi di utenti vedranno l'interfaccia dell'editor nella modalità impostata ora come default. E' consigliato prendere visione che le impostazioni di default ora prevedono l'interfaccia semplificata per il gruppo "Public", quella media per i gruppi "Manager" e "Registered" e quella avanzata per i gruppi "Administrator" e "Editor" e "Super User". Issue 15024
• La gestione dei nuovi Campi aggiuntivi comporta ancora dei problemi:
  • Nel profilo utente non sono visibili e quindi modificabili dall'utente loggato in amministrazione. Dalla modifica del proprio profilo nel pannello di amministrazione non è possibile modificare i campi aggiuntivi compilati in fase di registrazione. Mentre è possibile modificarli dalla pagina del profilo in frontend. Issue 13601
  • Nelle opzioni di ogni campo aggiuntivo dedicato agli utenti il parametro "Mostra etichetta" non ha alcun effetto. Issue 14377 e Issue 15304
  • Per il tipo di campo aggiuntivo Lista di immagini il parametro "Valore predefinito" non funziona. Issue 15173
  • Utilizzando il tipo di campo aggiuntivo "Lista" oppure "SQL" la prima opzione viene selezionata automaticamente al salvataggio dell'articolo, anche senza visualizzare il tab relativo ai campi aggiuntivi. Si suggerisce quindi di lasciare come prima opzione un campo nullo. Issue 15688
  • Per il tipo di campo aggiuntivo Area di testo il parametro "Colonne" non funziona. Issue 15802
• Se nel sito si è attivato il plugin recaptcha ed impostato in configurazione globale, magari per utilizzarlo nei form di contatto, ora la verifica con il recaptcha è presente anche nell'invio o modifica di articoli da frontend. Se però il nostro template lato sito utilizza l'override per quella pagina non viene visualizzato il recaptcha e senza poter verificare il recaptcha il salvataggio dell'articolo fallisce con l'errore "Valore vuoto non consentito". Per disattivare il recaptcha dall'inserimento/modifica articoli è necessario accedere al pannello di controllo di Joomla, nelle opzioni della gestione articoli, nel TAB "Layout modifica" verificare che il parametro "Consenti Captcha all'invio" sia impostato su "Nessuna selezione" e salvare le impostazioni (salvare anche se il parametro si trova già nella posizione corretta). Issue 15666
• Il versionamento dei contenuti non tiene conto delle impostazioni ACL (Permessi) e neppure dei campi aggiuntivi e dei Tags. Issue 15700
• In fase di aggiornamento se è presente il file htaccess.bak nella root questo viene rinominato .htaccess e sovrascrive il file .htaccess precedentemente attivo. Alcune estensioni di backup o altro generano il file htaccess.bak, fare quindi attenzione se nel sito utilizzate il file .htaccess che questo non venga sovrascritto, oppure fate una copia del file prima dell'aggiornamento così da eventualmente ripristinarlo. Issue 15542
• Se la homepage del sito viene impostata per essere visualizzata solo da utenti registrati questa genera errore "troppi reindirizzamenti" se visualizzata da chi non è ancora loggato. Issue 16139

Articolo di Marco Galassi fonte Joomla