Главная страница / Найденные ошибки / Патчи безопасности для версий 9.6 и ниже
ноябрь 19 2012

Патчи безопасности для версий 9.6 и ниже

celsoft 19 ноября 2012 Найденные ошибки 44 994
Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

Ошибка в версии: 9.6 и все более ранние версии

Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

Для исправления проблемы, вам необходимо внести следующие изменения в файлы скрипта:

1. Откройте файл engine/modules/sitelogin.php и найдите:
$dle_login_hash = "";

Ниже добавьте:
$_TIME = time () + ($config['date_adjust'] * 60);

Далее в этом файле найдите:
		if( $member_id['user_id'] ) {

Ниже добавьте:
			session_regenerate_id();

Далее в этом файле найдите:
		$member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" );

Ниже добавьте:
			session_regenerate_id();


2. Откройте файл engine/init.php и найдите:
	if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) {

Замените на:
	if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {


3. Откройте файл engine/modules/functions.php и найдите:
	global $tpl;

Ниже добавьте:
	if (!class_exists('dle_template')) {
	    return;
	}

Комментарии

У данной публикации еще нет комментариев. Вы можете быть первым!

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Январь 2023    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?