Разделы
Прочее
Новости от Яndexa
  • Fatal Error
    Fatal Error: could not open XML input (http://news.yandex.ru/index.rss)...
    подробнее >>
Друзья
Написал Alexander, в Баг-фиксы. , просмотров 3732

Внимание была обнаружена ошибка в модуле "Антивирус", позволяющая злоумышленнику получить список всех сторонних выполняемых скриптов на сервере, а также путь к ним.

Ошибка в версии: 5.0, 4.5

Метод исправления:

Файл engine/inc/main.php

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3494

Уважаемые пользователи,

Были переписаны потенциально не безопасные модули загрузки и управления файлами. На версиях ниже 4.5, обнаруженные уязвимости имеют высокую степень опасности, версии 4.5 и 5.0 имеют среднею степень опасности.

Обнаружена уязвимость в модуле восстановления пароля, позволяющая при определенных обстоятельствах методом грубой силы (перебора), запустить механизмы генерации нового пароля. Уязвимость обнаружена во всех версиях.

Для исправления обнаруженных уязвимостей вам необходимо по новой скачать релиз DataLife Engine 5.0 и заменить следующие файлы:

<!-- QuoteBegin -->

<!-- QuoteEBegin --> /engine/images.php
/engine/inc/files.php
/engine/modules/lostpassword.php <!-- QuoteEnd -->

<!-- QuoteEEnd -->

Если вы используете в работе версии ниже 5.0 то также вам необходимо заменить вышеуказанные файлы именно из обновленного дистрибутива версии 5.0. Они подойдут для ваших версий.

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3164

Проблема: Недостаточная фильтрация переменной $_SERVER['PHP_SELF']

Ошибка в версии: 4.5, 4.3, 4.2

Степень опасности: Низкая

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3353

Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.

Степень тяжести: средняя

Исправление предназначено для версий: 4.1, 4.2 и 4.3

Метод исправления:

Файл engine/modules/addcomments.php

найти
<!-- code1 -->
<!-- ecode1 --> $name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail'])); <!-- code2 -->
<!-- ecode2 -->

заменить на
<!-- code1 --> <!-- ecode1 --> $name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3226

Внимание, вход на сайт не был произведен. Возможно вы ввели неверное имя пользователя или пароль.
-------------------------------------------------------------------------

Решение - в файле engineinceditusers.php нужно заменить строку
<!-- QuoteBegin -->
<!-- QuoteEBegin -->
$regpassword = md5($regpassword);
<!-- QuoteEnd -->
<!-- QuoteEEnd -->

на
<!-- QuoteBegin -->
<!-- QuoteEBegin -->
$regpassword = md5(md5($regpassword));
<!-- QuoteEnd -->
<!-- QuoteEEnd -->


Автор: Akela

Подробнее   Комментарии (0)

Партнеры
Опрос
Как вам новый дизайн?
Нравится
Нормально
Так себе
Не нравится