Форум инстанта сломан?
не получается ничего написать в теме про "очередной взлом"
Добавить свое сообщение в той теме невозможно.
Отображается картинкой и ссылка на "изображение" — instantcms.ru/forum/1/видно, что есть слой фрейма какого-то
javascript:/*--></marquee></script></title></textarea></noscript></style></xmp>">[img=1]<img -/style=-=expression(/*'/-/*',/**/eval(name)//);width:100%;height:100%;position:absolute;behavior:url(#default#VML);-o-link:javascript:eval(title);-o-link-source:current name=alert('xss') onerror=eval(name) src=1 autofocus onfocus=eval(name) onclick=eval(name) onmouseover=eval(name) background=javascript:eval(name)//>"
Цитирую Марата
Для устранения возможности вставки неположенного, открываем файл /includes/bbcode/bbcode.lib.php, находим строку 1203
return '<div class="forum_lostimg">Файл "'.$src.'" не найден!</div>';
Уже видел сегодня эту фразу, извините парни, при всем уважении, но поему это глуповатое какое то утверждение. Если это такая плохая библиотека какого ляда она вообще делает в инстанте.Для тех, кто всё время кричит о дырявости инстанта, как можете заметить эта уязвимость в сторонней библиотеке, которую использует инстант.
Я не кричу о дырявости инстанта, благодарен разработчикам за продукт, но проблема существует, и ни к чему эти отсылки к плохим библиотекам, достоинства инстанта и так никто не принижает, и респект разработчикам не меньше, но то что здесь творится со вчерашней ночи это вообще то выглядит ужасно.
Думаю не я один испытал чувство анреала…
Надеюсь скоро проблема будет устранена.
А администрация не отвечает. Потому-что видет что нет никакой дыры.
Все проще, админы тоже люди — и у них есть выходные. Дыра есть — критичная или нет другой вопрос. И она в файле, который входит в поставку InstantCMS (сторонняя библиотека или своя неважно — файл входит в состав движка) — так что в любом случае эта штука будет исправлена.А администрация не отвечает. Потому-что видет что нет никакой дыры.
Вы немного неправильно поняли. Никакой отсылки к сторонней библиотеке не было. Эту фразу я привел только для того, чтобы показать, что не бывает "недырявых" программ. Просто очень сильно раздражает, когда не разбираясь начинают орать о дырявости инстанта.Уже видел сегодня эту фразу, извините парни, при всем уважении, но поему это глуповатое какое то утверждение. Если это такая плохая библиотека какого ляда она вообще делает в инстанте.
Библиотека не плохая. Очень даже отличная. Зачем изобретать велосипед. Это всего лишь маленький недочет. Зачем же сразу делить только на черное и белое?
Пугает, что разработчиков даже собственный форум не сильно волнует.
Sjen правильно сказал, все мы люди… Тем более лето и выходные. И отдыхать тоже надо. Или вы хотите, чтобы кто-нибудь дежурил здесь как на ядерном чемодане?А администрация не отвечает. Потому-что видет что нет никакой дыры.
Появится Фьюз или Администратор оффсайт подправят.
По уязвимости, устранение подсказано. Исправьте и отдыхайте спокойно. Какого ответа вы ждете от админов? Не будут же по каждому недочету выпускать релиз. Могу сказать, не такое уж это простое занятие. Скоро обещали релиз, вот там и подправят.
Большое спасибо за временное решение, но все таки думаю повод серьезный что бы какое то решение было от админов.По уязвимости, устранение подсказано
Паника в рядах вполне логична и объяснима. Когда кто то из пользователей приходит и жалуетсяна форуме что вотпосмотрите у меня такая проблема там ломают так и так, ему читают краткую лекцию на тему сам виноват, настрой систему безопасности, про безопасность ftp и т д. И народ дальше спит спокойно. Ну когда какой то человек который утверждает что собственно и не является особым спецом на раз два три чудит на офф сайте, со своим зловещим "чпоки чпоки" реакция народа вполне адекватная.
PS Огромное Спасибо Марат (самый разумный и уравновешенный человек похоже на ИнстантКМС)
По способу предоставления уязвимостей:
— мне ни в ЛС, ни на почту, которую все знают не ОДНОГО сообщения не пришло;— как правильно уже заметили умные люди — сейчас выходные, лично я не сижу дома целыми днями и не жду когда же вася пупкин мне напишет или кто то форум поломает;
— нашли уязвимость, критический БАГ, НУ НАПИШИТЕ ЛЮБОМУ ИЗ АДМИНОВ, все же знаю кто есть кто! Это что сложно?
По сабжу: в понедельник сделаю патч библиотеки.Да, и особо парящимся — ничего СИЛЬНО страшного нет.