Важно! Обновление безопасности

+47
3.27K
Один внимательный человек, имя которого мне, к сожалению, не известно обнаружил уязвимость, позволяющую залить и использовать шелл на сайте.

Детали раскрывать не буду, скажу только что все происходит через добавление статей с сайта.

Чтобы закрыть уязвимость:

1. Скачайте архив
2. Файл из архива замените в папке /filters/f_includes

Основной дистрибутив также обновлен.
-1
11 лет назад #
В дистрибутиве версии 1.8 тоже всё поправили?
+3
InstantCMS InstantCMS 11 лет назад #
сначала комментируем потом читаем?
+1
11 лет назад #
ага))) Извиняюсь)
0
11 лет назад #
Оперативно среагировали. Большой +
+1
11 лет назад #
Спасибо за доработку! Впереди ещё много работы предстоит ;)
+4
11 лет назад #
Всегда пожалуйста. Имя этого человека здесь
<------------------------------------------
-6
Blit Blit 11 лет назад #
Ребята из XAKEPA тут еще могут поработать на славу http://www.xakep.ru/post/52666/default.asp
+3
11 лет назад #
видео 2010 года, ты сам его смотрел?
-6
Blit Blit 11 лет назад #
А тебе что не понятно, один вопрос - у тебя букет багов будет
+2
Fuze Fuze 11 лет назад #
Это все очень старое и давно пофиксенное, не надо сюда писать весь вывод гугла по соответствующему запросу.
0
SeaLord SeaLord 11 лет назад #
Любое приложение с "открытым" кодом имеет кучу уязвимости - по своему определению, единственное, что може быть полезным - в случае "коллективного разума" - есть шанс быстро устранить недоработки.

А вообще резонность разработки средств защиты от их стомости и соотношения рисков от потерь.
В природе 60% всех пользователей ПО перепалачивают стомость рисков от угроз вредоносного кода за счет затрат на средства защиты.smileтак что вот так вот.
+3
Эдька Эдька 11 лет назад #
респект и уважуха Админу
-1
SeaLord SeaLord 11 лет назад #
Respect (англ - "Уважение")
Получается Уважение и Уважуха Админу -)
Блин хоть бы слова благодарности писали по человечески.
+1
Alphaweb Alphaweb 11 лет назад #
SeaLord, "респект и уважуха" в данном случае это нечто вроде крылатой фразы, которая бытует уже несколько лет, а уважение к Админу всегда высказывается по-человечески и неважно какими словами.
+1
SeaLord SeaLord 11 лет назад #
Ну пусть напишет по человечески - "Хочу выразить особенную благодарность, всем приложившим силы в устранении данной уязвимости".
Другие дети тоже читают и будут также писать!

Наобщался я просто с таким контингентом - голова болеть начинает после третьей надписи в таком стиле...
+3
11 лет назад #
противостояние защита - атака, всегда были и будут, собственно я заметил, что при обнаружении чего, сразу выходит обновление безопасности, вот это самый важный фактор. А то что находят, ну так что вы хотите, Лулз вон и ЦРУ и Пентагон вскрывают.
+1
Zau4man Zau4man 11 лет назад #
Спасибо don4a за найденную уязвимость, спасибо администрации зя быстро выпущенный патч. Обновился.
+1
vgorode vgorode 11 лет назад #
Спасибо )))
+1
Крылов Сергей Крылов Сергей 11 лет назад #
Спасибо за оперативность!
+1
Alphaweb Alphaweb 11 лет назад #
Спасибо! Уже успел переболеть от этого...
0
11 лет назад #
кто-то ещё догадался об этой дыре? О_о
0
Alphaweb Alphaweb 11 лет назад #
О ней просто знали и использовали. 3 недели боролся своими силами. Кстати из стандартных средств ничего не помогло. Руками пришлось "драить".
0
11 лет назад #
а написать разрабам, не решились?
+1
Alphaweb Alphaweb 11 лет назад #
Причина и мне самому не была ясна сначала. Да и зачем нагружать разработчиков?
Симптоматика была такой:
1) Сначала пользователи жаловались, что не могут выбрать раздел для размещения статьи.
Я сделал откат. По-началу помогло.
2) Яндекс прислал письмо, что на сайте обнаружен зловредный код. Поставил меня под "жучёк".
Разыскал все внедрения, какие были, но после перепроверки - опять тоже самое.
В webmaster яндекса числились статьи с заразой. Шерстил опять и опять...
Даже базу пришлось всю перебрать докучи. DrWeb и прочие после проверки выдавали ОК, а яндекс
уверял, что статьи с заразой. Платные сервисы при сканировании выдавали подозрения, но за инфу
и помощь требовали от 3.000 до 10.000 рублей - неприемлемо! Взялся сам шерстить код.
Точно сейчас не скажу где и что, но с сотню файлов при синхроне с бекапом самого сайта пришлось
исправить. Активировал на Яндексе перепроверку - через пару дней ответили, что всё отлично. Из угрожающих сайт убрали. Вот как-то так...
Ну а сейчас просто накатил это обновление безопасности плюс мониторю файлы сата на изменения.
-7
Suslik Suslik 11 лет назад #
непонятно почему это находится где-то среди блогов а не большими красными буквами на главной странице как обычно в друпале при малейшем xss - получается тут в разделе "скачать" вот уже 5 дней висит дырявая с php инклудом (!) версия ... а ведь через шелл на некоторых хостингах можно и соседние сайты повзламывать :(
+5
InstantCMS InstantCMS 11 лет назад #
вы тоже предпочитаете сначала комментировать, а затем читать пост?
внимательно смотрим последнюю строку
где что дырявое висит 5 дней?
+2
Юрий Юрий 11 лет назад #
Чукча не читатель, чукча писатель.
0
Тихонов Тихонов 11 лет назад #
Спасиб!
0
Александр Александр 11 лет назад #
большое спасибо)))) Вы СУПЕР.

Еще от автора

Каталог специалистов на instantcms.ru
Всем привет. Спешим сообщить что начиная с сегодняшнего дня на этом сайте заработал новый раздел - Каталог специалистов.
Обновляем jQuery до 1.5.2
В дистрибутиве InstantCMS достаточно старая версия jQuery 1.2.5. Это доставляет множество неудобств при использовании новых плагинов.
Loginza для InstantCMS
Представляем вашему вниманию плагин для InstantCMS позволяющий производить авторизацию пользователей через сервис Loginza.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.