Уязвимости InstantCMS

 
Посетитель
no avatar
Сообщений: 2
http://habrahabr.ru/company/pt/blog/250675/

Positive Technologies расковыряли код InstantCMS на предмет дырок.
Посетитель
small user social cms
Медаль
Сообщений: 132
Не много пугающий заголовок, но волноваться не о чем.
По моему анализ был ещё для 1.10.4 версии. В 1.10.5 - 1.10.6 таких уязвимостей нет.
Подпись на форуме:
Можно использовать BBCode
Реклама
cms
Посетитель
small user social cms
МедальАвторитет форумаПочетный донор проектаКубок зрительских симпатий
Сообщений: 3094
В настоящее время разработчик InstantCMS устранил все обнаруженные нами уязвимости. В этой статье мы рассмотрим ошибки той версии, которая была актуальна на момент тестирования
В чем проблема? устранили же
Посетитель
small user social cms
Сообщений: 24
Я так понял, что они тестировали только первую ветку? Или я что-то упустил?
Посетитель
small user social cms
Медаль
Сообщений: 132
SpAyN:

Я так понял, что они тестировали только первую ветку? Или я что-то упустил?

Первую! Ранее чем 1.10.4 версию. Там где ещё fck editor использовался.
Подпись на форуме:
Можно использовать BBCode
Посетитель
small user social cms
Медаль
Сообщений: 132
Просто видимо народ по пугать решил) Однако прочитать было интересно...
Подпись на форуме:
Можно использовать BBCode
Посетитель
no avatar
МедальАвторитет форума
Сообщений: 2797
так а всеже на какой версии эти уязвимости? чтобы можно было обновить прежние проекты и убрать их, не перенося проекты на новые ветки?
Посетитель
no avatar
МедальАвторитет форума
Сообщений: 2797
может заодно и 2-ку проерить? а то проекты уже начиают делать некоторые, а знать не знают про уязвимости, если таковые есть
Модератор
small user social cms
МедальПочетный донор проектаКубок зрительских симпатийАвторитет форума
Сообщений: 1422
Откройте исходный код своего сайта и найдите там эти строки, сложно? facepalm
Нормальный хостинг, сервера быстрые - пользуюсь сам.
Посетитель
small user social cms
Медаль
Сообщений: 132
yury:

может заодно и 2-ку проерить? а то проекты уже начиают делать некоторые, а знать не знают про уязвимости, если таковые есть
Чтобы проверить двойку нужно приобрести их чудо анализатор, который в принципе они и рекламируют в этой статье v
Подпись на форуме:
Можно использовать BBCode
Посетитель
no avatar
МедальАвторитет форума
Сообщений: 2797
да я бы за, но я не профи в этом и мне особо он ничего не даст. Готов принять участие в складчине
Посетитель
no avatar
МедальАвторитет форума
Сообщений: 2797
lokanaft:
код своего сайта и найдите там эти строки, сложно?
а дальше что мне с ними делать? та вроде как решение не приводилось, на что эти строки заменить.
Посетитель
small user social cms
Медаль
Сообщений: 779
Доротея:

Не много пугающий заголовок, но волноваться не о чем.
По моему анализ был ещё для 1.10.4 версии. В 1.10.5 - 1.10.6 таких уязвимостей нет.

То есть у кого 1.10.3 тому кранты?
Посетитель
small user social cms
МедальАвторитет форума
Сообщений: 1147
yury:
а дальше что мне с ними делать? та вроде как решение не приводилось, на что эти строки заменить.
Обновиться

Уязвимости описаны трехлетней давности.
К примеру, set.php который приводится в статье с версии 1.8.1

Если я правильно понял, то аудит заказывали как раз этой фирме. И все найденные уязвимости устранили еще в 1.10.1
И статья написана как раз по итогам этого аудита.
Редактировалось: 1 раз (Последний: 19 февраля 2015 в 00:26)
Посетитель
small user social cms
Медаль
Сообщений: 132
Gumoff:

То есть у кого 1.10.3 тому кранты?
Ну если хорошенько по ищите, от Fuze было официальное обновление по теме уязвимости. Если не ошибаюсь была именно 1.10.3 версия. Был создан патч, обновили, поставили и всё.
Подпись на форуме:
Можно использовать BBCode
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.