ВАЖНО! Серьезная уязвимость

ЗАКРЫТО
#1 17 мая 2010 в 11:14
Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.

Лечение

1. Если вы уже обновились до 1.6.2 — скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.

Профилактика

1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.
#2 17 мая 2010 в 11:17
основной дистрибутив 1.6.2 в разделе "скачать" так же исправлен
#3 17 мая 2010 в 11:36
Fixed!
Все-таки не даром я на своем сервере данный параметр включил.
Благодарю за своевременное исправление ошибок.
#4 17 мая 2010 в 11:36

за своевременное нахождение дыры

M@XX
дыру нашел хакер с античата, ему благодарность за то что сообщил
#5 17 мая 2010 в 11:44
Как бы то ни было, оперативная реакция радует, спасибо и так держать!
#6 17 мая 2010 в 12:35
у меня на сайте уже появился такой "пассажир" — expl0it с адресом dos-microsoft@mail.ru
и оставил вот такой ип 77.241.44.40
#7 17 мая 2010 в 14:01
Обновление прошло успешно! Полет нормальный.
#8 17 мая 2010 в 19:04

Все равно, меню не выпадает

IRIP
Просто без комментариев, жесть.
#9 17 мая 2010 в 20:02
Подскажите, а magic_quotes_runtime = Off стоит включать (On)?
#10 17 мая 2010 в 20:39

Какие только танцы с бубном не проводил — бесполезно

IRIP
никаких танцев с бубнами, внимательно читаем как обновиться

на крайний случай ставим чистую последнюю версию, смотрим там, если там все работает, то косяк у Вас.
#11 17 мая 2010 в 22:26
вовремя.:)
#12 17 мая 2010 в 22:42
спасибо!!!
#13 18 мая 2010 в 13:29
В разделе "Скачать" полный дистрибутив уже с исправлениями безопасности по левым админам? Спрашиваю потому, что в уведомлении стоит дата редактирования 17 мая, а дистрибутив от 15 мая
#14 18 мая 2010 в 15:06

основной дистрибутив 1.6.2 в разделе "скачать" так же исправлен

Администратор
#15 18 мая 2010 в 16:32

2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.

Администратор
То есть я так понял, что настройки главного администратора (того, кто зарегистрировался админом при установке сайта) где-то отдельно от настроек группы администраторов? Правильно? Если это так, то это отлично и тогда система разграничения прав доступа становится более гибкой
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.