Главная страница / Найденные ошибки / Обновление безопасности скрипта
октябрь 06 2006

Обновление безопасности скрипта

Уважаемые пользователи,

Были переписаны потенциально не безопасные модули загрузки и управления файлами. На версиях ниже 4.5, обнаруженные уязвимости имеют высокую степень опасности, версии 4.5 и 5.0 имеют среднею степень опасности.

Обнаружена уязвимость в модуле восстановления пароля, позволяющая при определенных обстоятельствах методом грубой силы (перебора), запустить механизмы генерации нового пароля. Уязвимость обнаружена во всех версиях.

Для исправления обнаруженных уязвимостей вам необходимо по новой скачать релиз DataLife Engine 5.0 и заменить следующие файлы:

/engine/images.php
/engine/inc/files.php
/engine/modules/lostpassword.php

Если вы используете в работе версии ниже 5.0 то также вам необходимо заменить вышеуказанные файлы именно из обновленного дистрибутива версии 5.0. Они подойдут для ваших версий.

Комментарии

  1. celsoft (Администраторы)

    6 октября 2006 15:46 4 132 комментария
    значит так у кого версии 4.1 и 4.2 не заменяйте файл /engine/modules/lostpassword.php а сделайте вручную изменения в этом файле

    Внимание!

    Просмотр данной информации доступен только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом. Если срок вашей лицензии истек, то вы можете продлить ее в своем профиле на нашем сайте

    $lostid = md5($lostname.$lostmail.time());

    заменить на
        $salt = "abchefghjkmnpqrstuvwxyz0123456789";
        srand((double)microtime()*1000000);

        for($i=0;$i < 9; $i++) {
                $rand_lost .= $salt{rand(0,33)};
        }

        $lostid = md5($lostname.$lostmail.time().$rand_lost);

  2. BOOTKiller (Клиенты)

    6 октября 2006 17:36 25 комментариев
    кароче нада скачать 5 версию и из 5 версии взять те файлы то написаны выше, заменить их в предыдущей версии скрипта те кто их использует.. верно?
  3. celsoft (Администраторы)

    6 октября 2006 17:44 4 132 комментария
    Цитата: BOOTKiller
    верно?

    верно, если 4.1 или 4.2 то произвести вручную написанные выше изменения
  4. mnone (Посетители)

    7 октября 2006 01:43 3 комментария
    тем кто качал 5.0 раньше тоже обновить файлы ? А то в теме указано, что фикс на 4.x линейку, но "5.0 имеют среднею степень опасности" и сам дистрибутив изменился...
  5. celsoft (Администраторы)

    7 октября 2006 11:11 4 132 комментария
    Цитата: mnone
    тем кто качал 5.0 раньше тоже обновить файлы ? А то в теме указано, что фикс на 4.x линейку, но "5.0 имеют среднею степень опасности" и сам дистрибутив изменился...

    Конечно качать, обнаружены уязвимости в двух модулях о чем и написано, и написано что все версии, какие файлы заменить из обновленного дистрибутива тоже написано.
  6. mnone (Посетители)

    7 октября 2006 12:10 3 комментария
    скачал, обновил.
    спасибо wink
  7. GURU (Посетители)

    8 октября 2006 23:48 20 комментариев
    На 5.0 поставил все ОК wink
  8. Hrist (Клиенты)

    9 октября 2006 13:25 25 комментариев
    wink
  9. no_name (Посетители)

    11 октября 2006 23:05 3 комментария
    wink
  10. Flashman (Клиенты)

    26 октября 2006 21:27 7 комментариев
    если скачал дистрибутив 26-го октября, то обновлять уже не надо, я правильно понял? smile
  11. celsoft (Администраторы)

    26 октября 2006 21:44 4 132 комментария
    нет ненадо
  12. Mr 13 (Посетители)

    30 мая 2007 13:39 97 комментариев
    recourse

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Декабрь 2024    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?