Главная страница / Найденные ошибки / Недостаточная фильтрация входящих данных
июнь 07 2010

Недостаточная фильтрация входящих данных

Проблема: Пользователю которому разрешена загрузка файлов на сервер (не картинок), может выйти за пределы разрешенной папки загрузки, а если он имеет администраторский аккаунт на сайте, то и повредить данные скрипта.

Ошибка в версии: 7.x - 8.5

Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте)

Для исправления откройте файл engine/inc/files.php и найдите:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );

замените на:
        if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';

        if ( $serverfile != '' ) {

            $serverfile = str_replace( "\\", "/", $serverfile );
            $serverfile = str_replace( "..", "", $serverfile );
            $serverfile = str_replace( "/", "", $serverfile );
            $serverfile_arr = explode( ".", $serverfile );
            $type = totranslit( end( $serverfile_arr ) );
            $curr_key = key( $serverfile_arr );
            unset( $serverfile_arr[$curr_key] );

            if ( in_array( strtolower( $type ), $allowed_files ) ) 
                $serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type; 
            else $serverfile = '';

        }

        if( $serverfile == ".htaccess") die("Hacking attempt!");


Откройте файл engine/classes/thumb.class.php и найдите:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );

и добавьте выше:
        if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
        if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;


Дистрибутив версии 8.5 обновлен.

Комментарии

  1. celsoft (Администраторы)

    9 июня 2010 15:52 4 132 комментария
    Цитата: Most
    сейчас тоже есть не закрытые дыры,

    по поводу басен и сплетен, о якобы известных и не закрытых дырах, багах и прочее, которые вы приносите сюда с варезников читайте на http://forum.dle-news.ru/index.php?showtopic=51509
    Цитата: Most
    для серьёзных порталов надо ставить drupal,wordpress

    ставьте, никто не запрещает, потом у них будете писать "Я глубоко разочаровался в движке.....", и я наоборот не против. Не делает ошибок только тот, кто ничего не делает. И я не знаю ниодного скрипта, на который никогда не выпускалось исправлений безопасности. Даже на ваши здесь рекламируемуе скрипты периодически выходят исправления безопасности. Посмотрели бы хотя бы http://core.trac.wordpress.org/report прежде чем писать
  2. Most (Клиенты)

    9 июня 2010 16:38 13 комментариев
    да только сайты на этих движках ломают реже чем на dle
  3. fmnokia (Клиенты)

    9 июня 2010 16:49 20 комментариев
    Цитата: Most
    да только сайты на этих движках ломают реже чем на dle

    потому что на них не делают варезников. А ломает обычно школота друг друга... ну и соответственно всех обладателей дле.
  4. celsoft (Администраторы)

    9 июня 2010 16:55 4 132 комментария
    Цитата: Most
    да только сайты на этих движках ломают реже чем на dle

    Этот патч закрывает не взлом, а инструмент для использования уже после взлома. Для того чтобы им пользоваться уже нужен как минимум доступ. И взламывают тех, кто безответственно относится к безопасности своего сайта и раздает эти доступы всем подряд.

    И что за утверждение что ломают чаще? Вы обладаете такой статистикой? Нет. Да будет вам известно что 99,3% всех когда либо взломанных сайтов на DLE, были сайты использующие нелегальные копии скриптов с бэкдорами, либо сайты были взломаны через сторонние модификации. Это, да будет вам известно, статистика, которой я в отличии от вас обладаю. Остальные сайты взломаны из-за несвоевременной установки уже вышедших патчей.

    Единственная серьезная уязвимость за все время была обнаружена только один раз, это в версии 8.2, поэтому все ваши сообщения, о якобы постоянных критических уязвимостях и взломах, не более чем необоснованные и не подтвержденные слухи.
  5. Most (Клиенты)

    9 июня 2010 17:17 13 комментариев
    Цитата: fmnokia
    . А ломает обычно школота друг друга

    школота ломает dle браво.


    Цитата: celsoft
    только один раз, это в версии 8.2

    тогда вобще круто было,обновился>лишился сайта
  6. ua1907 (Клиенты)

    9 июня 2010 17:25 11 комментариев
    celsoft, спасибо за честность и оперативную работу.
  7. damon24 (Посетители)

    9 июня 2010 20:51 10 комментариев
    Я обновил скрипт, движок версии 8.3
    после чего не могу загружать файлы mp3 для скачивания, пишет постоянно ошибку (file_1 -> Укажите загружаемую картинку!!!) до обновления таких проблем не было!
    В настройках загрузки файлов на сервер прописан формат mp3

    Что мне делать? Как выйти с такой ситуации?
    Заранее спасибо за ответ!
  8. celsoft (Администраторы)

    9 июня 2010 20:52 4 132 комментария
    Цитата: damon24
    Я обновил скрипт, движок версии 8.3
    после чего не могу загружать файлы mp3 для скачивания, пишет постоянно ошибку (file_1 -> Укажите загружаемую картинку!!!) до обновления таких проблем не было!
    В настройках загрузки файлов на сервер прописан формат mp3

    Что мне делать? Как выйти с такой ситуации?
    Заранее спасибо за ответ!

    в какую папку вы его загружаете по FTP? А также какое имя фйла?
  9. damon24 (Посетители)

    9 июня 2010 21:15 10 комментариев
    Пробовал в /public_html/uploads/files Тоже выдает ошибку.

    Хотя обычно выкладывал всю музыку в /public_html/uploads/files/audio
    и загружало нормально, но сейчас выдает ошибку.

    Вот пример:
    audio/07-GHOST/Aka_no_Kakera.mp3

    Пробовал и так добавлять:
    Aka_no_Kakera.mp3

    Тоже ошибка.
  10. celsoft (Администраторы)

    9 июня 2010 21:27 4 132 комментария
    damon24,
    Данный патч запрещает запись в другие папки, кроме uploads/files/, также данный патч запрещает использование спецсимволов и больших букв в имени файла, можно использовать только латинские буквы и цифры
  11. damon24 (Посетители)

    9 июня 2010 21:34 10 комментариев
    Спасибо за помощь!
  12. IT-Security (Клиенты)

    9 июня 2010 23:01 7 комментариев
    Most, Вы просто поражаете. Если Вам так всё не нравится - чтож Вы пользуетесь?
    Даже на Windows выходят обновления безопасности и как не странно его тоже ломают.
    Что за бред Вы несёте про взлом чаще, чем на других движках?
    >> тогда вобще круто было,обновился>лишился сайта
    Это вообще чему было?
    Может "не обновился - лишился сайта"?А что удивляет?
    Если Вы не будете ставить патчи безопасности на ОС и не будете обновлять антивирус - Ваш компьютер тоже поимеют. Удивительно, правда?
    И поимеет школота. Которая вычитала на античате как применить готовый сплоит.
  13. dicson (Посетители)

    9 июня 2010 23:27 7 комментариев
    Согласен .Недавно купил.Бесплатные движки есть парочку. покруче и защита получше.А здесь не успел открыть сайт лезут со своим спамом со всех щелей, а на сайте никто не зарегистрирован.Версия 8.5.
  14. celsoft (Администраторы)

    9 июня 2010 23:31 4 132 комментария
    Цитата: dicson
    Согласен .Недавно купил.Бесплатные движки есть парочку. покруче и защита получше.А здесь не успел открыть сайт лезут со своим спамом со всех щелей, а на сайте никто не зарегистрирован.Версия 8.5.

    Ну так вы включите защиту от спама, все это скрипт позволяет сделать в настройках групп. У вас на сайте даже гостям разрешено публиковать кликабельные ссылки, тут спамь не хочу, даже регистрироваться на сайте не нужно, у вас это и для гостей все разрешено. Изучите настройки групп, там очень много чего можно включить для защиты от спама и ограничения для гостей.
  15. celsoft (Администраторы)

    10 июня 2010 08:33 4 132 комментария
    Цитата: IT-Security
    Most, Вы просто поражаете. Если Вам так всё не нравится - чтож Вы пользуетесь?
    Даже на Windows выходят обновления безопасности и как не странно его тоже ломают.

    Точно, как раз сегодня вышло ежемесячное обновление безопасности для Windows, закрывающие не менее 8 критических уязвимостей ОС, и так на протяжении уже десятилетий. Там тоже наверное криворукие программисты сидят, которые не могут свой код проверить. И весь мир пользуется этой ОС. А еще на Linux выходят исправления и на MacOS.

    Господа пишущие о том что: Вот вышло исправление, значит все дырявое и код писать не умеют, знайте безопасность и надежность программ зависит не от количества опубликованных патчей и исправлений, а степенью и качеством реакции направленное на исправление обнаруженных уязвимостей. И кто то ждет месяцы, а кто то ждет час. И я предпочитаю, чтобы мои клиенты ждали час, в случае обнаружения уязвимости, даже если исправления будут публиковаться хоть 50 раз в неделю, чем они будут ждать месяц и получать одним исправлением.
  16. Most (Клиенты)

    10 июня 2010 08:35 13 комментариев
    У меня BolgenOS мне ничто не страшно wink
  17. Dlepro (Клиенты)

    10 июня 2010 09:33 59 комментариев
    Цитата: celsoft
    Господа пишущие о том что: Вот вышло исправление, значит все дырявое и код писать не умеют, знайте безопасность и надежность программ зависит не от количества опубликованных патчей и исправлений, а степенью и качеством реакции направленное на исправление обнаруженных уязвимостей. И кто то ждет месяцы, а кто то ждет час. И я предпочитаю, чтобы мои клиенты ждали час, в случае обнаружения уязвимости, даже если исправления будут публиковаться хоть 50 раз в неделю, чем они будут ждать месяц и получать одним исправлением.


    Поддерживаю. И вообще какая то нездоровая атмосфера вокруг DataLife Engine собралась, все сайты как бы поддержки(поддержка - это ключевое здесь слово), занимаются не поддержкой и помощью разработчику, а охаиванием его и пытаются показать у кого круче яйца, ломая друг друга(промолчу про неуважение к самим себе: - это вообще отдельная тема напишу после коммента в оффтопе...).
    У разработчика есть тоже человеческий фактор и я думаю в той ситуации, нагнетание которой сейчас создаётся вокруг celsoft и его труда, я бы на его месте наверное уже бы не был так сдержан, за что ему ещё раз уважение и спасибо за гибкий универсальный скрипт. Да с ним ещё много работы и по seo и многому другому, но работа именно идёт и все мы люди и у всех у нас свои тараканы!


    Оффтоп: - Жванецкий с Задорновым тихо курят в сторонке...

    Человек на своём типо офсайте на нулленом скрипте и кучей рипов и нулленых работ в публикациях закрепляет новость, в которой его труд и в самом конце этой новости, чуть ниже цены его труда надпись: Уважайте труд автора, типо не нуллите, а покупайте моё творенье....

    всё занавес...
  18. MasterUA (Клиенты)

    10 июня 2010 13:26 26 комментариев
    Цитата: celsoft
    Данный патч запрещает запись в другие папки, кроме uploads/files/, также данный патч запрещает использование ... больших букв в имени файла...

    упс а без этого никак нельзя? в свете вот этой темы _http://forum.dle-news.ru/index.php?showtopic=51428
  19. celsoft (Администраторы)

    10 июня 2010 13:35 4 132 комментария
    Цитата: MasterUA
    упс а без этого никак нельзя? в свете вот этой темы _http://forum.dle-news.ru/index.php?showtopic=51428

    нет, к сожалению нельзя. Старые уже загруженные файлы будут работать без проблем и будут доступны для скачивания, новые файлы уже так грузить нельзя.
  20. MDmitry (Клиенты)

    10 июня 2010 19:09 2 комментария
    Спасибо!!
  21. SWAT (Клиенты)

    12 июня 2010 12:49 9 комментариев
    Цитата: Most
    У меня BolgenOS мне ничто не страшно


    Ubuntu Reload by Popov ?
    Батенька, да Вы позёр =) Что касается DLE, то это единственный скрипт которому я верен уже долгое время и за появление и поддержку которого безмерно благодарен автору.
  22. serik52 (Посетители)

    16 июня 2010 17:15 2 комментария
    Цитата: celsoft
    также данный патч запрещает использование спецсимволов и больших букв в имени файл


    Больших букв вообще ? Попробовал залить файл Xxxx.rar - залило. Название то файла с большой буквы можно значит ?

Информация

Возможность комментирования данной публикации было отключена.

Календарь

«    Декабрь 2024    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 

Опрос на сайте

Совершаете ли вы покупки в интернет?