Главная страница / Найденные ошибки / Патчи безопасности для версий 9.6 и ниже
ноябрь 19 2012

Патчи безопасности для версий 9.6 и ниже

celsoft 19 ноября 2012 Найденные ошибки 45 031
Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

Ошибка в версии: 9.6 и все более ранние версии

Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

Для исправления проблемы, вам необходимо внести следующие изменения в файлы скрипта:

1. Откройте файл engine/modules/sitelogin.php и найдите:
$dle_login_hash = "";

Ниже добавьте:
$_TIME = time () + ($config['date_adjust'] * 60);

Далее в этом файле найдите:
		if( $member_id['user_id'] ) {

Ниже добавьте:
			session_regenerate_id();

Далее в этом файле найдите:
		$member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" );

Ниже добавьте:
			session_regenerate_id();


2. Откройте файл engine/init.php и найдите:
	if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) {

Замените на:
	if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {


3. Откройте файл engine/modules/functions.php и найдите:
	global $tpl;

Ниже добавьте:
	if (!class_exists('dle_template')) {
	    return;
	}

Комментарии

У данной публикации еще нет комментариев. Вы можете быть первым!

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Март 2024    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
25262728293031

Опрос на сайте

Совершаете ли вы покупки в интернет?