Главная страница / Баг Фиксы / версия 6.5 / Обновление безопасности скрипта
январь 27 2008

Обновление безопасности скрипта

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Высокая

Для исправления необходимо открыть файл: admin.php

найти:
require_once (ENGINE_DIR.'/inc/init.php');


ниже добавить:
if($is_loged_in AND $_SERVER['HTTP_REFERER'] == '' AND !$_SESSION['dle_name'] ) {

     $is_loged_in = FALSE;

} elseif ($is_loged_in AND $_SERVER['HTTP_REFERER'] != '' AND strpos( strtolower($_SERVER['HTTP_REFERER']), $config['admin_path'] ) === false) {

    $allow_mod = array("editusers", "editnews", "iptools", "blockip");
    $allow_action = array("edituser", "editnews");

    if ($config['extra_login']) $allow_mod[] = "";

    if (in_array($_GET['mod'], $allow_mod)) {

        if (($_GET['action'] AND !in_array($_GET['action'], $allow_action)) OR $_GET['ifdelete']) $is_loged_in = FALSE;

    } else $is_loged_in = FALSE;

} elseif ($is_loged_in AND strpos( strtolower($_SERVER['HTTP_REFERER']), "mod=editnews" ) !== false) {

    if (@strpos( $_SERVER['HTTP_REFERER'], $_GET['id'] ) === false AND count($_GET) > 2 AND $_GET['mod'] != "editnews") $is_loged_in = FALSE;

}

if (!$is_loged_in) {

        @session_destroy();
        @session_unset();

}


Дистрибутив версии 6.5 обновлен.

Комментарии

ComBo

ComBo

28 января 2008 09:41 Посетители
0
спс исправляем = )
celsoft

celsoft

28 января 2008 10:33 Администраторы
0
Цитата: kolyann
А после этого обновления сами юзеры тоже постоянно теряют свою сессию?

нет, вы же только файл админпанели исправляете.
LeKs

LeKs

28 января 2008 11:12 Посетители
0
Это 5+ :) Безопасность это хорошо!
ПС кто то подтирает мои камменты :(
Hostl.Ru

Hostl.Ru

28 января 2008 11:22 Посетители
0
Хотелось бы увидеть в новом реализе, сортировку "зафиксированных" новостей! А то приходится менять дату, чтобы новости встали как надо, что ни есть гуд.
at

at

28 января 2008 11:52 Клиенты
0
что-то зачастили багфиксы....

ma3ca

ma3ca

28 января 2008 21:52 Клиенты
0
Заходишь в админку после установки данного патча, видишь форму для ввода имени и пароля администратора.
Пишешь прямую ссылку на нужное действие (например http://(tvoi_domen.ru)/admin.php?mod=dboption) и уже не нужно ничего вводить, ты автоматически логинишься))
plush

plush

29 января 2008 10:09 Клиенты
0
Цитата: celsoft
безопасность важнее.

Согласен, это наверное самое важное и радует то, что эти обновления выкладываются laughing
taganay

taganay

29 января 2008 14:47 Клиенты
0
При редактировании новостей после установки патча невозможно загрузить картинку в редактируемую новость.
Hellik

Hellik

29 января 2008 14:56 Посетители
0
Обновились :)
max21

max21

29 января 2008 15:19 Клиенты
0
А у меня не работает. После обновления все время надо логиниться, а войти не дает.
celsoft

celsoft

29 января 2008 16:01 Администраторы
0
max21,
taganay,
Отключите Firewall либо включите в настройках брандмауэра поддержку REFERER
max21

max21

29 января 2008 22:27 Клиенты
0
У меня реферер передается.
aleko

aleko

30 января 2008 09:32 Клиенты
0
Безопасность никогда не бывает лишней.
Quate

Quate

30 января 2008 11:00 Посетители
0
Говорят обновление глючное: разлогинивается и не пускает.

А если, вместо этого обновления, просто переименовать admin.php так что бы никто не догадался - не пойдёт?
komnervov

komnervov

30 января 2008 13:28 Посетители
0
Quate,
Я тоже хочу услышать ответ на такой вопрос
max21

max21

6 февраля 2008 09:55 Клиенты
0
Или блокировка по IP может помочь?
EzS

EzS

6 февраля 2008 21:13 Клиенты
0
Thanx a lot!
BOOTKiller

BOOTKiller

16 февраля 2008 13:26 Клиенты
0
celsoft,
Цитата: BOOTKiller
У меня 4.2 версия. Там надоччто-нибудь менять?

Ваша версия скрипта не считается безопасной и рекомендуется к обновлению, давно уже было пора, сколько времени прошло
.
мне придется неделю сидеть вносить изменения в движок что бы публикации выгляделе примерно так же как сейчас... смена чпу, модификации в самом скрипте

еще 6.2 и 6.5 версии движков у меня стоят... тоже много изменений... ну что ты будешь делать...

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Декабрь 2019    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Декабрь 2019 (1)
Сентябрь 2019 (2)
Май 2019 (3)
Апрель 2019 (1)
Март 2019 (3)
Февраль 2019 (2)