Разделы
Прочее
Новости от Яndexa
  • Госдеп прокомментировал отмену встречи Пенса с делегацией КНДР
    Делегация из КНДР отменила встречу с вице-президентом США Майком Пенсом на Олимпиаде в Пхенчхане "в последний момент", заявила официальный представитель госдепартамента Хезер Науэрт, ......
    подробнее >>
    Госдеп США: новые санкции сорвали контракты России на $3 млрд
    Госдепартамент США полагает, что антироссийские санкции в рамках закона "О противодействии противникам Америки посредством санкций" (CAATSA) привели к потерям российского ......
    подробнее >>
    Биатлонистки Зайцева, Вилухина и Романова подали иск к Родченкову
    Иск к бывшему главе московской антидопинговой лаборатории Григорию Родченкову подан во вторник в Нью-Йорке от имени российских биатлонисток Ольги Зайцевой, Ольги Вилухиной и Яны Романовой....
    подробнее >>
Друзья
Написал Alexander, в Баг-фиксы. , просмотров 3811

Внимание была обнаружена ошибка в модуле "Антивирус", позволяющая злоумышленнику получить список всех сторонних выполняемых скриптов на сервере, а также путь к ним.

Ошибка в версии: 5.0, 4.5

Метод исправления:

Файл engine/inc/main.php

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3565

Уважаемые пользователи,

Были переписаны потенциально не безопасные модули загрузки и управления файлами. На версиях ниже 4.5, обнаруженные уязвимости имеют высокую степень опасности, версии 4.5 и 5.0 имеют среднею степень опасности.

Обнаружена уязвимость в модуле восстановления пароля, позволяющая при определенных обстоятельствах методом грубой силы (перебора), запустить механизмы генерации нового пароля. Уязвимость обнаружена во всех версиях.

Для исправления обнаруженных уязвимостей вам необходимо по новой скачать релиз DataLife Engine 5.0 и заменить следующие файлы:

<!-- QuoteBegin -->

<!-- QuoteEBegin --> /engine/images.php
/engine/inc/files.php
/engine/modules/lostpassword.php <!-- QuoteEnd -->

<!-- QuoteEEnd -->

Если вы используете в работе версии ниже 5.0 то также вам необходимо заменить вышеуказанные файлы именно из обновленного дистрибутива версии 5.0. Они подойдут для ваших версий.

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3237

Проблема: Недостаточная фильтрация переменной $_SERVER['PHP_SELF']

Ошибка в версии: 4.5, 4.3, 4.2

Степень опасности: Низкая

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3427

Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.

Степень тяжести: средняя

Исправление предназначено для версий: 4.1, 4.2 и 4.3

Метод исправления:

Файл engine/modules/addcomments.php

найти
<!-- code1 -->
<!-- ecode1 --> $name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail'])); <!-- code2 -->
<!-- ecode2 -->

заменить на
<!-- code1 --> <!-- ecode1 --> $name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));

Подробнее   Комментарии (0)

Написал Alexander, в Баг-фиксы. , просмотров 3294

Внимание, вход на сайт не был произведен. Возможно вы ввели неверное имя пользователя или пароль.
-------------------------------------------------------------------------

Решение - в файле engineinceditusers.php нужно заменить строку
<!-- QuoteBegin -->
<!-- QuoteEBegin -->
$regpassword = md5($regpassword);
<!-- QuoteEnd -->
<!-- QuoteEEnd -->

на
<!-- QuoteBegin -->
<!-- QuoteEBegin -->
$regpassword = md5(md5($regpassword));
<!-- QuoteEnd -->
<!-- QuoteEEnd -->


Автор: Akela

Подробнее   Комментарии (0)

Партнеры
Опрос
Как вам новый дизайн?
Нравится
Нормально
Так себе
Не нравится