/ / / Обновление безопасности скрипта
октябрь 06 2006

Обновление безопасности скрипта

Уважаемые пользователи,

Были переписаны потенциально не безопасные модули загрузки и управления файлами. На версиях ниже 4.5, обнаруженные уязвимости имеют высокую степень опасности, версии 4.5 и 5.0 имеют среднею степень опасности.

Обнаружена уязвимость в модуле восстановления пароля, позволяющая при определенных обстоятельствах методом грубой силы (перебора), запустить механизмы генерации нового пароля. Уязвимость обнаружена во всех версиях.

Для исправления обнаруженных уязвимостей вам необходимо по новой скачать релиз DataLife Engine 5.0 и заменить следующие файлы:

/engine/images.php
/engine/inc/files.php
/engine/modules/lostpassword.php

Если вы используете в работе версии ниже 5.0 то также вам необходимо заменить вышеуказанные файлы именно из обновленного дистрибутива версии 5.0. Они подойдут для ваших версий.

Комментарии

celsoft

celsoft

6 октября 2006 15:46 Администраторы
0
значит так у кого версии 4.1 и 4.2 не заменяйте файл /engine/modules/lostpassword.php а сделайте вручную изменения в этом файле
Внимание! Просмотр данной информации доступен только пользователям имеющим лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

$lostid = md5($lostname.$lostmail.time());

заменить на
    $salt = "abchefghjkmnpqrstuvwxyz0123456789";
    srand((double)microtime()*1000000);

    for($i=0;$i < 9; $i++) {
            $rand_lost .= $salt{rand(0,33)};
    }

    $lostid = md5($lostname.$lostmail.time().$rand_lost);

BOOTKiller

BOOTKiller

6 октября 2006 17:36 Клиенты
0
кароче нада скачать 5 версию и из 5 версии взять те файлы то написаны выше, заменить их в предыдущей версии скрипта те кто их использует.. верно?
celsoft

celsoft

6 октября 2006 17:44 Администраторы
0
Цитата: BOOTKiller
верно?

верно, если 4.1 или 4.2 то произвести вручную написанные выше изменения
mnone

mnone

7 октября 2006 01:43 Посетители
0
тем кто качал 5.0 раньше тоже обновить файлы ? А то в теме указано, что фикс на 4.x линейку, но "5.0 имеют среднею степень опасности" и сам дистрибутив изменился...
celsoft

celsoft

7 октября 2006 11:11 Администраторы
0
Цитата: mnone
тем кто качал 5.0 раньше тоже обновить файлы ? А то в теме указано, что фикс на 4.x линейку, но "5.0 имеют среднею степень опасности" и сам дистрибутив изменился...

Конечно качать, обнаружены уязвимости в двух модулях о чем и написано, и написано что все версии, какие файлы заменить из обновленного дистрибутива тоже написано.
mnone

mnone

7 октября 2006 12:10 Посетители
0
скачал, обновил.
спасибо wink
GURU

GURU

8 октября 2006 23:48 Посетители
0
На 5.0 поставил все ОК wink
Hrist

Hrist

9 октября 2006 13:25 Клиенты
0
wink
no_name

no_name

11 октября 2006 23:05 Посетители
0
wink
Flashman

Flashman

26 октября 2006 21:27 Клиенты
0
если скачал дистрибутив 26-го октября, то обновлять уже не надо, я правильно понял? smile
celsoft

celsoft

26 октября 2006 21:44 Администраторы
0
нет ненадо
Mr 13

Mr 13

30 мая 2007 13:39 Посетители
0
recourse

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Май 2017    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
293031 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Апрель 2017 (3)
Март 2017 (2)
Февраль 2017 (1)
Январь 2017 (1)
Декабрь 2016 (3)
Ноябрь 2016 (3)