октябрь 11 2006

Ошибка в модуле "Антивирус"

Внимание была обнаружена ошибка в модуле "Антивирус", позволяющая злоумышленнику получить список всех сторонних выполняемых скриптов на сервере, а также путь к ним.

Ошибка в версии: 5.0, 4.5

Метод исправления:

Файл engine/inc/main.php

найти:
    var varsString = "folder=" + folder;

заменить на:
    var varsString = "folder=" + folder;

    ajax.setVar("key", '{$config['key']}');


Файл engine/ajax/antivirus.php

найти:
require_once ENGINE_DIR.'/inc/functions.inc.php';

добавить ниже:
if ($_REQUEST['key'] != $config['key']) die("Hacking attempt!");
if ($config['key'] == "" ) die("The script should be activated");


Работа антивируса после данного исправления будет возможна, только после того как лицензия скрипта будет активирована. Внимание помните, что нелегальные копии будут и дальше уязвимы, т.к. не обладают уникальным ключем.

Дистрибутивы обновлены.
октябрь 06 2006

Обновление безопасности скрипта

Уважаемые пользователи,

Были переписаны потенциально не безопасные модули загрузки и управления файлами. На версиях ниже 4.5, обнаруженные уязвимости имеют высокую степень опасности, версии 4.5 и 5.0 имеют среднею степень опасности.

Обнаружена уязвимость в модуле восстановления пароля, позволяющая при определенных обстоятельствах методом грубой силы (перебора), запустить механизмы генерации нового пароля. Уязвимость обнаружена во всех версиях.

Для исправления обнаруженных уязвимостей вам необходимо по новой скачать релиз DataLife Engine 5.0 и заменить следующие файлы:

/engine/images.php
/engine/inc/files.php
/engine/modules/lostpassword.php

Если вы используете в работе версии ниже 5.0 то также вам необходимо заменить вышеуказанные файлы именно из обновленного дистрибутива версии 5.0. Они подойдут для ваших версий.
сентябрь 24 2006

Самодостаточные XSS атаки

Проблема: Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.

Ошибка в версии: Все версии ниже 5.0

Степень опасности: Высокая

Внимание обратите внимание что это новый тип атак, и на данный момент уязвимо большинство различных скриптов, поэтому обращайте внимание на все ссылки, которые вы нажимаете. На данный момент данной уязвимости подвержены броузеры Opera и FireFox, IE в данном вопросе неуязвим. Более подробно о данном типе атак вы можете прочитать на http://www.securitylab.ru/analytics/274302.php. Исправление для нашего скрипта смотрите в подробностях.
Календарь
«    Июнь 2017    »
ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
2627282930 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Июнь 2017 (1)
Апрель 2017 (3)
Март 2017 (2)
Февраль 2017 (1)
Январь 2017 (1)
Декабрь 2016 (3)