X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Недостаточная фильтрация входящих данных, Ошибка в версии: Все версии
ChristmasNet
ChristmasNet
Topic Starter сообщение 9.6.2010, 12:16; Ответить: ChristmasNet
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 441
Регистрация: 13.1.2010
Из: Россия, ХМАО
Поблагодарили: 93 раза
Репутация:   16  


Проблема: Пользователю которому разрешена загрузка файлов на сервер (не картинок), может выйти за пределы разрешенной папки загрузки, а если он имеет администраторский аккаунт на сайте, то и повредить данные скрипта.

Ошибка в версии: Все версии DLE

Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте)

Для исправления откройте файл engine/inc/files.php и найдите:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );


замените на:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';

        if ( $serverfile != '' ) {

            $serverfile = str_replace( "\\", "/", $serverfile );
            $serverfile = str_replace( "..", "", $serverfile );
            $serverfile = str_replace( "/", "", $serverfile );
            $serverfile_arr = explode( ".", $serverfile );
            $type = totranslit( end( $serverfile_arr ) );
            $curr_key = key( $serverfile_arr );
            unset( $serverfile_arr[$curr_key] );

            if ( in_array( strtolower( $type ), $allowed_files ) )
                $serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type;
            else $serverfile = '';

        }

        if( $serverfile == ".htaccess") die("Hacking attempt!");



Откройте файл engine/classes/thumb.class.php и найдите:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );


и добавьте выше:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
        if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;



Дистрибутив версии 8.5 обновлен.

Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

Ошибка в версии: DLE 7.x - 8.5

Степень опасности: Низкая

Для исправления скачайте и скопируйте на свой сервер патч: Прикрепленный файл  dle7_85_path.zip ( 3,17 килобайт ) Кол-во скачиваний: 22


Данный патч применим ко всем версиям: DLE 7.x - 8.5

Дистрибутив версии 8.5 обновлен.

Проверяйте свои файлы .htaccess

P.S. Если тема уже есть удалите эту.

Сообщение отредактировал ChristmasNet - 10.6.2010, 6:55
1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
xomka
xomka
сообщение 9.6.2010, 12:47; Ответить: xomka
Сообщение #2


Старожил
******


Группа: Banned
Сообщений: 1257
Регистрация: 9.2.2008
Из: Киев
Поблагодарили: 190 раз
Репутация:   22  


Проверяйте свои файлы .htaccess


что там проверять?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ChristmasNet
ChristmasNet
Topic Starter сообщение 9.6.2010, 13:06; Ответить: ChristmasNet
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 441
Регистрация: 13.1.2010
Из: Россия, ХМАО
Поблагодарили: 93 раза
Репутация:   16  


(xomka @ 9.6.2010, 14:47) *
что там проверять?

Лишний код.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
slevin
slevin
сообщение 9.6.2010, 14:04; Ответить: slevin
Сообщение #4


Участник
***


Группа: User
Сообщений: 186
Регистрация: 3.11.2009
Поблагодарили: 31 раз
Репутация:   5  


После вставки всех этих кодов массовое добавления фото перестала работать, только по одной фотке можно загружать.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
xomka
xomka
сообщение 9.6.2010, 15:04; Ответить: xomka
Сообщение #5


Старожил
******


Группа: Banned
Сообщений: 1257
Регистрация: 9.2.2008
Из: Киев
Поблагодарили: 190 раз
Репутация:   22  


(slevin @ 9.6.2010, 13:04) *
После вставки всех этих кодов массовое добавления фото перестала работать, только по одной фотке можно загружать.


все работает, 8.5
ток я качал с оф.сайта дистрибудив, и файлы заменял.

(ChristmasNet @ 9.6.2010, 12:06) *
Лишний код.

smile.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 9.6.2010, 22:49; Ответить: Electric
Сообщение #6


CMS help/antivirus
******

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 389 раз
Репутация:   57  


ТС, блин! Вы хоть бы в названии темы указали что это относиться к ДЛЕ, а то тут же не все телепаты.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Нужен импорт данных в Вордпресс (плагин WP All Import)
Надо настроить импорт данных в Вордпресс через плагин Wp All Import
1 mirmix 461 16.5.2018, 18:50
автор: adnr78
Открытая тема (нет новых ответов) Киви просит обновление данных
17 Grestoun 3107 30.4.2018, 8:15
автор: EvilGomel
Открытая тема (нет новых ответов) Объёмы загружаемых данных для мобильных и для ПК не совпадают.
Объём данных загружаемых для мобильных устройств возрастает в 2 раза.
2 Курыкин 3215 11.3.2018, 17:11
автор: mkcontext
Открытая тема (нет новых ответов) Шифрование диска для защиты данных встроенным BitLocker в Windows 7
0 metvekot 527 28.2.2018, 19:13
автор: metvekot
Открытая тема (нет новых ответов) Продам базу данных фан пейджей Фейсбук. Общая аудитория 31 млрд. пользователей.
0 Tutich 1569 15.10.2017, 16:25
автор: Tutich


 



RSS Текстовая версия Сейчас: 21.5.2018, 11:59
Дизайн