Parašė
ozzWANTED 2009 lapkričio 28 06:11:12
LABAI SVARBU VISIEMS V6 VERSIJOS TURĖTOJAMS - RASTA KRITINĖ SAUGUMO SPRAGA.Taigi, vakar buvo rasti labai saugumo spraga, o prieš valandą buvo publikuotas saugumo pataisymas.
Problema pirmą kartą buvo aprašyta, vakar
2009 lapkričio 27 dieną, 3 valandą 28 minutės, ir pirmą kartą aprašyta Php-Fusion.co.uk support saito temoje:
NEW V6 HACK - BLANK SCREEN ??
Saugumo pataisymas buvo išplatintas, šiandien,
2009 lapkričio 27 dieną, 3 valandą 26 minutės Lietuvos laiku.
Vadinasi per beveik parą laiko galėjo būti užkrėsta daugybė puslapių.
Dar didelė tinklapių greičiausiai bus užkrėsta per artimiausias dvi dienas, kadangi ne kiekvienas kasdien tikrina Php-Fusion support tinklapius.
Vienintelė paguoda, kad užkrėsti buvo tik Php-Fusion v6 kartos vartotojai, naudojantys standartinę apklausos modifikaciją(member_poll_panel).
Siųstis pataisymą:
Siųstis Php-Fusion v6.01.19 atnaujinimą - TIK v6.01.18 naudotojams (3.1kB)
Siųstis Php-Fusion v6.01.19 pilną (2,2 MB)
Norėdami atsinaujinti V6 versiją į V7, turėtume atsisiųsti šį paketą:
Siųstis Php-Fusion v7.00.05 pilną (2,8 MB)
--------------------
Visiems kurie modifikavo ar kitaip keitė savo Php-Fusion sistemą ar nenori perrašyti Php-Fusion failo dėl kažkokių tai asmenių ar kitų priežasčių, tai informuoju, jog
"
/infusions/member_poll_panel/member_poll_panel.php" faile,
po 12-13'ąja eilutėmis:
if (!defined("IN_FUSION")) { header("Location: ../../index.php"); exit; }
if (isset($poll_id) && !isNum($poll_id)) fallback("index.php");
buvo
pridėta 14-oji eilutė:
if (isset($voteoption) && !isNum($voteoption)) fallback("index.php");
Kadangi mes neskatiname tinklapių nulaužinėjimų ir t.t., daugiau informacijos tikrai nepaminėsiu, bet esmė ta, kad ši saugumo spraga tokia rimta(ne tik paprasti XSS), kad bet kas galėtų... Na, anyway, saldžių sapnų ir sėkmės visiems Php-Fusion v6 tinklapių savininkams šiandien. Taip pat linkiu neturėti priešų.
Man tik kiek keista yra tai, kad v7.00.5 versijoje ir matyt jau nuo v7 pirmosios versijos, ši spraga jau buvo ištaisyta. Ir tas kas rašė v7 branduolį, aiškiai turėjo pastebėti šią saugumo spragą, kadangi ją net ir ištaisyti sugebėjo. Keisti kad tada praleido v6 kažkaip :/.
Radėjas - @smokeman
Pagal - @starefossen
Vertė, informavo, papildė @ozzWANTED
30 Komentarai · 7410 Skaityta
·
Prisijunkite, norėdami parašyti komentarą.