habrahabr.ru/company/pt/blog/250675/
Positive Technologies расковыряли код InstantCMS на предмет дырок.
#1
18 февраля 2015 в 22:25
#2
18 февраля 2015 в 22:38
Не много пугающий заголовок, но волноваться не о чем.
По моему анализ был ещё для 1.10.4 версии. В 1.10.5 — 1.10.6 таких уязвимостей нет.
По моему анализ был ещё для 1.10.4 версии. В 1.10.5 — 1.10.6 таких уязвимостей нет.
#3
18 февраля 2015 в 22:39
В чем проблема? устранили жеВ настоящее время разработчик InstantCMS устранил все обнаруженные нами уязвимости. В этой статье мы рассмотрим ошибки той версии, которая была актуальна на момент тестирования
Сегодня в 08:02
#4
18 февраля 2015 в 22:47
Я так понял, что они тестировали только первую ветку? Или я что-то упустил?
#5
18 февраля 2015 в 22:51
Я так понял, что они тестировали только первую ветку? Или я что-то упустил?
Первую! Ранее чем 1.10.4 версию. Там где ещё fck editor использовался.
#6
18 февраля 2015 в 22:52
Просто видимо народ по пугать решил) Однако прочитать было интересно…
#7
18 февраля 2015 в 23:23
так а всеже на какой версии эти уязвимости? чтобы можно было обновить прежние проекты и убрать их, не перенося проекты на новые ветки?
#8
18 февраля 2015 в 23:26
может заодно и 2-ку проерить? а то проекты уже начиают делать некоторые, а знать не знают про уязвимости, если таковые есть
#9
18 февраля 2015 в 23:29
Откройте исходный код своего сайта и найдите там эти строки, сложно? 
#10
18 февраля 2015 в 23:37
Чтобы проверить двойку нужно приобрести их чудо анализатор, который в принципе они и рекламируют в этой статье
может заодно и 2-ку проерить? а то проекты уже начиают делать некоторые, а знать не знают про уязвимости, если таковые есть
#11
19 февраля 2015 в 00:14
да я бы за, но я не профи в этом и мне особо он ничего не даст. Готов принять участие в складчине
#12
19 февраля 2015 в 00:15
а дальше что мне с ними делать? та вроде как решение не приводилось, на что эти строки заменить.код своего сайта и найдите там эти строки, сложно?
#13
19 февраля 2015 в 00:22
Не много пугающий заголовок, но волноваться не о чем.
По моему анализ был ещё для 1.10.4 версии. В 1.10.5 — 1.10.6 таких уязвимостей нет.
То есть у кого 1.10.3 тому кранты?
Обновитьсяа дальше что мне с ними делать? та вроде как решение не приводилось, на что эти строки заменить.
Уязвимости описаны трехлетней давности.
К примеру, set.php который приводится в статье с версии 1.8.1
Если я правильно понял, то аудит заказывали как раз этой фирме. И все найденные уязвимости устранили еще в 1.10.1
И статья написана как раз по итогам этого аудита.
#15
19 февраля 2015 в 00:25
Ну если хорошенько по ищите, от Fuze было официальное обновление по теме уязвимости. Если не ошибаюсь была именно 1.10.3 версия. Был создан патч, обновили, поставили и всё.
То есть у кого 1.10.3 тому кранты?