Главная страница / Найденные ошибки / Обновление безопасности скрипта
январь 27 2008

Обновление безопасности скрипта

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Высокая

Для исправления необходимо открыть файл: admin.php

найти:
require_once (ENGINE_DIR.'/inc/init.php');


ниже добавить:
if($is_loged_in AND $_SERVER['HTTP_REFERER'] == '' AND !$_SESSION['dle_name'] ) {

     $is_loged_in = FALSE;

} elseif ($is_loged_in AND $_SERVER['HTTP_REFERER'] != '' AND strpos( strtolower($_SERVER['HTTP_REFERER']), $config['admin_path'] ) === false) {

    $allow_mod = array("editusers", "editnews", "iptools", "blockip");
    $allow_action = array("edituser", "editnews");

    if ($config['extra_login']) $allow_mod[] = "";

    if (in_array($_GET['mod'], $allow_mod)) {

        if (($_GET['action'] AND !in_array($_GET['action'], $allow_action)) OR $_GET['ifdelete']) $is_loged_in = FALSE;

    } else $is_loged_in = FALSE;

} elseif ($is_loged_in AND strpos( strtolower($_SERVER['HTTP_REFERER']), "mod=editnews" ) !== false) {

    if (@strpos( $_SERVER['HTTP_REFERER'], $_GET['id'] ) === false AND count($_GET) > 2 AND $_GET['mod'] != "editnews") $is_loged_in = FALSE;

}

if (!$is_loged_in) {

        @session_destroy();
        @session_unset();

}


Дистрибутив версии 6.5 обновлен.

Комментарии

  1. freeman85 (Посетители)

    27 января 2008 06:21 19 комментариев
    obnovilsia. fellow

    mojete podrobno shto ana ne filtruet?
  2. Demon2 (Клиенты)

    27 января 2008 06:26 8 комментариев
    эмм...у меня кажется после этого обновления каждый раз при входе в админку надо вбивать логин и пасс sad
  3. Sergey78 (Клиенты)

    27 января 2008 06:39 17 комментариев
    что-то после этих изменений он у меня сам разлогинивается все время, и к томуже, залогинившись на сайте, когда нажимаю Админцентр - ВСЕГДА требует заново залогиниться.
    а если сразу в админке залогиниться - нормально.

    admin.php переименован
    Метод авторизации в админпанели - стандартный
    Контроль изменения IP адреса - средний уровень
  4. Adobe (Клиенты)

    27 января 2008 07:03 42 комментария
    Спасибо, обновился :)
  5. ko1yan (Посетители)

    27 января 2008 08:33 9 комментариев
    Обновился, celsoft спасибо!
  6. Gorets (Клиенты)

    27 января 2008 08:56 24 комментария
    спасибо за обновление!
  7. BOOTKiller (Клиенты)

    27 января 2008 09:19 25 комментариев
    У меня 4.2 версия. Там надоччто-нибудь менять?
  8. M.org (Клиенты)

    27 января 2008 09:41 12 комментариев
    BOOTKiller, ага, сам скрипт =)
  9. qwedc (Клиенты)

    27 января 2008 10:09 29 комментариев
    Обновился, спасибо!
  10. exet (Клиенты)

    27 января 2008 10:28 43 комментария
    Спасибо за исправление ()
  11. WMDrakon (Клиенты)

    27 января 2008 10:59 141 комментарий
    VERY GOOD!
    Thanks!
  12. celsoft (Администраторы)

    27 января 2008 11:42 3 371 комментарий
    Цитата: Sergey78
    что-то после этих изменений он у меня сам разлогинивается все время, и к томуже, залогинившись на сайте, когда нажимаю Админцентр - ВСЕГДА требует заново залогиниться.
    а если сразу в админке залогиниться - нормально.

    Все правильно в целях безопасности придется немного потерпеть до выхода новой версии скрипта, скрипт лишний раз перестраховывается, запрашивая пароль, но безопасность важнее. Вы можете включить расширенный режим авторизации чтобы не набивать пароль вручную.
    Цитата: BOOTKiller
    У меня 4.2 версия. Там надоччто-нибудь менять?

    Ваша версия скрипта не считается безопасной и рекомендуется к обновлению, давно уже было пора, сколько времени прошло.
  13. eRED (Клиенты)

    27 января 2008 12:25 47 комментариев
    спасибо за заботу :)
  14. www.ru-portal.ru (Клиенты)

    27 января 2008 13:56 26 комментариев
    второй баг за такое короткое время))
    обновился спс
  15. taganay (Клиенты)

    27 января 2008 14:50 68 комментариев
    www.ru-portal.ru, это не баг, а просто серьезно взялись за безопасность, что я всячески приветствую.
  16. mvia (Клиенты)

    27 января 2008 14:53 20 комментариев
    Все правильно в целях безопасности придется немного потерпеть до выхода новой версии скрипта,

    Если не секрет, сколько ждать. Примерно? Если несколько дней, то можно подождать, если месяцы, то следует обновить файл. Мое мнение...
  17. Sergey78 (Клиенты)

    27 января 2008 14:59 17 комментариев
    Цитата: celsoft
    Все правильно в целях безопасности придется немного потерпеть до выхода новой версии скрипта, скрипт лишний раз перестраховывается, запрашивая пароль, но безопасность важнее. Вы можете включить расширенный режим авторизации чтобы не набивать пароль вручную.

    ок, спасибо, потерпим.
    насколько я понял, это неудобство касается только админа - тогда можно и потерпеть - абсолютно с вами согласен, что безопасность важнее.
  18. dwell (Посетители)

    27 января 2008 15:24 7 комментариев
    А после этого обновления сами юзеры тоже постоянно теряют свою сессию?
  19. Chika (Посетители)

    27 января 2008 15:53 8 комментариев
    update! crying
  20. Zaguzin (Посетители)

    27 января 2008 17:21 13 комментариев
    Спасибо, обновил...Безопасность важнее. А насчет новой версии - автор ведь вроде каждый месяц выпускает, так что думаю к февралю и увидим..
  21. ufounet (Клиенты)

    27 января 2008 17:36 7 комментариев
    спасибо smile
  22. Pacifik (Клиенты)

    27 января 2008 17:38 25 комментариев
    Спасибо!
  23. celsoft (Администраторы)

    27 января 2008 18:44 3 371 комментарий
    Цитата: acral
    обновился, только бы теперь еще и получить исправление на этот патч

    Непонятно что вы имеете ввиду.
    Цитата: mvia
    Если не секрет, сколько ждать. Примерно? Если несколько дней, то можно подождать, если месяцы, то следует обновить файл. Мое мнение...

    Планируемое время релиза середина февраля.
  24. ARPLANNET (Посетители)

    27 января 2008 20:26 3 комментария
    Мне удалили все комменты и новости? Это из-за этой баги?
  25. CoolFiles.RU (Посетители)

    27 января 2008 20:50 4 комментария
    Обновился, спасибо.

    ПС: А че с форумом?
    Ошибка при работе с базой данных
    Возникла проблема при работе с базой данных.
    Вы можете попробовать обновить эту страницу, нажав сюда
  26. goga2002 (Посетители)

    27 января 2008 21:04 2 комментария
    Пришлось обновится до 6.5 :) спасибо большое за фикс.
  27. rob1n (Посетители)

    27 января 2008 21:26 6 комментариев
    Спасибо обновляемся...
  28. footballzone (Посетители)

    27 января 2008 22:06 3 комментария
    спс, обновились
  29. ZippeR (Клиенты)

    28 января 2008 07:23 12 комментариев
    celsoft
    спасибо !
  30. kolyann (Клиенты)

    28 января 2008 09:25 1 комментарий
    Цитата: dwell
    А после этого обновления сами юзеры тоже постоянно теряют свою сессию?


    присоединяюсь к вопросу

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Июль 2020    »
ПнВтСрЧтПтСбВс
 12345
6789101112
13141516171819
20212223242526
2728293031 

Опрос на сайте

Совершаете ли вы покупки в интернет?