/ / / Обновление безопасности скрипта
январь 27 2008

Обновление безопасности скрипта

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Высокая

Для исправления необходимо открыть файл: admin.php

найти:
require_once (ENGINE_DIR.'/inc/init.php');


ниже добавить:
if($is_loged_in AND $_SERVER['HTTP_REFERER'] == '' AND !$_SESSION['dle_name'] ) {

     $is_loged_in = FALSE;

} elseif ($is_loged_in AND $_SERVER['HTTP_REFERER'] != '' AND strpos( strtolower($_SERVER['HTTP_REFERER']), $config['admin_path'] ) === false) {

    $allow_mod = array("editusers", "editnews", "iptools", "blockip");
    $allow_action = array("edituser", "editnews");

    if ($config['extra_login']) $allow_mod[] = "";

    if (in_array($_GET['mod'], $allow_mod)) {

        if (($_GET['action'] AND !in_array($_GET['action'], $allow_action)) OR $_GET['ifdelete']) $is_loged_in = FALSE;

    } else $is_loged_in = FALSE;

} elseif ($is_loged_in AND strpos( strtolower($_SERVER['HTTP_REFERER']), "mod=editnews" ) !== false) {

    if (@strpos( $_SERVER['HTTP_REFERER'], $_GET['id'] ) === false AND count($_GET) > 2 AND $_GET['mod'] != "editnews") $is_loged_in = FALSE;

}

if (!$is_loged_in) {

        @session_destroy();
        @session_unset();

}


Дистрибутив версии 6.5 обновлен.

Комментарии

freeman85

freeman85

27 января 2008 06:21 Посетители
0
obnovilsia. fellow

mojete podrobno shto ana ne filtruet?
Demon2

Demon2

27 января 2008 06:26 Клиенты
0
эмм...у меня кажется после этого обновления каждый раз при входе в админку надо вбивать логин и пасс sad
Sergey78

Sergey78

27 января 2008 06:39 Клиенты
0
что-то после этих изменений он у меня сам разлогинивается все время, и к томуже, залогинившись на сайте, когда нажимаю Админцентр - ВСЕГДА требует заново залогиниться.
а если сразу в админке залогиниться - нормально.

admin.php переименован
Метод авторизации в админпанели - стандартный
Контроль изменения IP адреса - средний уровень
Adobe

Adobe

27 января 2008 07:03 Клиенты
0
Спасибо, обновился :)
ko1yan

ko1yan

27 января 2008 08:33 Посетители
0
Обновился, celsoft спасибо!
Gorets

Gorets

27 января 2008 08:56 Клиенты
0
спасибо за обновление!
BOOTKiller

BOOTKiller

27 января 2008 09:19 Клиенты
0
У меня 4.2 версия. Там надоччто-нибудь менять?
M.org

M.org

27 января 2008 09:41 Клиенты
0
BOOTKiller, ага, сам скрипт =)
qwedc

qwedc

27 января 2008 10:09 Клиенты
0
Обновился, спасибо!
exet

exet

27 января 2008 10:28 Клиенты
0
Спасибо за исправление ()
WMDrakon

WMDrakon

27 января 2008 10:59 Клиенты
0
VERY GOOD!
Thanks!
celsoft

celsoft

27 января 2008 11:42 Администраторы
0
Цитата: Sergey78
что-то после этих изменений он у меня сам разлогинивается все время, и к томуже, залогинившись на сайте, когда нажимаю Админцентр - ВСЕГДА требует заново залогиниться.
а если сразу в админке залогиниться - нормально.

Все правильно в целях безопасности придется немного потерпеть до выхода новой версии скрипта, скрипт лишний раз перестраховывается, запрашивая пароль, но безопасность важнее. Вы можете включить расширенный режим авторизации чтобы не набивать пароль вручную.
Цитата: BOOTKiller
У меня 4.2 версия. Там надоччто-нибудь менять?

Ваша версия скрипта не считается безопасной и рекомендуется к обновлению, давно уже было пора, сколько времени прошло.
eRED

eRED

27 января 2008 12:25 Клиенты
0
спасибо за заботу :)
www.ru-portal.ru

www.ru-portal.ru

27 января 2008 13:56 Клиенты
0
второй баг за такое короткое время))
обновился спс
taganay

taganay

27 января 2008 14:50 Клиенты
0
www.ru-portal.ru, это не баг, а просто серьезно взялись за безопасность, что я всячески приветствую.
mvia

mvia

27 января 2008 14:53 Клиенты
0
Все правильно в целях безопасности придется немного потерпеть до выхода новой версии скрипта,

Если не секрет, сколько ждать. Примерно? Если несколько дней, то можно подождать, если месяцы, то следует обновить файл. Мое мнение...
Sergey78

Sergey78

27 января 2008 14:59 Клиенты
0
Цитата: celsoft
Все правильно в целях безопасности придется немного потерпеть до выхода новой версии скрипта, скрипт лишний раз перестраховывается, запрашивая пароль, но безопасность важнее. Вы можете включить расширенный режим авторизации чтобы не набивать пароль вручную.

ок, спасибо, потерпим.
насколько я понял, это неудобство касается только админа - тогда можно и потерпеть - абсолютно с вами согласен, что безопасность важнее.
dwell

dwell

27 января 2008 15:24 Посетители
0
А после этого обновления сами юзеры тоже постоянно теряют свою сессию?
Chika

Chika

27 января 2008 15:53 Посетители
0
update! crying
Zaguzin

Zaguzin

27 января 2008 17:21 Посетители
0
Спасибо, обновил...Безопасность важнее. А насчет новой версии - автор ведь вроде каждый месяц выпускает, так что думаю к февралю и увидим..
ufounet

ufounet

27 января 2008 17:36 Клиенты
0
спасибо smile
Pacifik

Pacifik

27 января 2008 17:38 Клиенты
0
Спасибо!
celsoft

celsoft

27 января 2008 18:44 Администраторы
0
Цитата: acral
обновился, только бы теперь еще и получить исправление на этот патч

Непонятно что вы имеете ввиду.
Цитата: mvia
Если не секрет, сколько ждать. Примерно? Если несколько дней, то можно подождать, если месяцы, то следует обновить файл. Мое мнение...

Планируемое время релиза середина февраля.
ARPLANNET

ARPLANNET

27 января 2008 20:26 Посетители
0
Мне удалили все комменты и новости? Это из-за этой баги?
CoolFiles.RU

CoolFiles.RU

27 января 2008 20:50 Посетители
0
Обновился, спасибо.

ПС: А че с форумом?
Ошибка при работе с базой данных
Возникла проблема при работе с базой данных.
Вы можете попробовать обновить эту страницу, нажав сюда
goga2002

goga2002

27 января 2008 21:04 Посетители
0
Пришлось обновится до 6.5 :) спасибо большое за фикс.
rob1n

rob1n

27 января 2008 21:26 Посетители
0
Спасибо обновляемся...
footballzone

footballzone

27 января 2008 22:06 Посетители
0
спс, обновились
ZippeR

ZippeR

28 января 2008 07:23 Клиенты
0
celsoft
спасибо !
kolyann

kolyann

28 января 2008 09:25 Клиенты
0
Цитата: dwell
А после этого обновления сами юзеры тоже постоянно теряют свою сессию?


присоединяюсь к вопросу

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Июнь 2017    »
ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
2627282930 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Июнь 2017 (1)
Апрель 2017 (3)
Март 2017 (2)
Февраль 2017 (1)
Январь 2017 (1)
Декабрь 2016 (3)