ВАЖНО: Закрываем уязвимость в 1.6.2

 
InstantCMS Team
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1176

Кратко

В версии 1.6.2 была возможность закачать через свой профиль файл .htaccess с инструкциями, разрешающими запускать любые файлы как php-скрипты. Это позволяло злоумышленнику загрузить шелл под видом jpg-картинки.

Лечение

Качаем архив - uploadfix.162.tar.gz, распаковываем в корень сайта с заменой файлов.

Есть ненулевая вероятность что вам уже залили шелл - уязвимость была опубликована на античате длительное время. Поэтому в архиве лежит скрипт cleaner.php. После распаковки архива на сайте нужно запустить этот скрипт (открыть адрес http://site.ru/cleaner.php). Он пройдет по всем папкам с пользовательскими файлами и проверит каждую на наличие .htaccess и php-скриптов. Найденные файлы, по возможности, будут удалены автоматически. Если прав не хватит - скрипт выведет путь к файлу для удаления вручную.

Дополнительно

Помимо закрытой уязвимости установка этого патча также поменяет механизм восстановления паролей. На почту пользователя который забыл пароль будет приходить не новый пароль, а ссылка на форму, где новый пароль он должен будет придумать и ввести самостоятельно. Ссылка в письме активна до смены пароля или до первого входа со старым паролем. Это решает проблему со сбросом пароля пользователей, email которых известен злоумышленнику.

P.S.
Вынужден извиниться перед сообществом за то что уязвимость известна давно, а патч выходит только сейчас.
Было много работы. Но лучше поздно чем никогда,
Приближается версия 1.6.3 со множеством интересного.
Вопросы и ответы
InstantCMS Team
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1176
дистрибутив на странице " Скачать" тоже исправлен.
Вопросы и ответы
Реклама
cms
Посетитель
small user social cms
МедальАвторитет форума
Сообщений: 1551
Администратор:
Приближается версия 1.6.3 со множеством интересного.
а в кратце можно огласить
сделать пресс-релиз так сказать smile
Ну типа продвигаю сайты, по немногу и не напрягаясь. smile
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 439
Огромное спасибо. v
Посетитель
small user social cms
МедальКубок зрительских симпатийСамый позитивный участник форума!Золотая медаль имени ЛезгинкиАвторитет форума
Сообщений: 1778
То Админ, большое Вам спасибо за заботу о нас, ваших пользователях!!
Anonimus:
сделать пресс-релиз так сказать
Да, теперь так и невтерпежж узнать, что там таки будет нового 8))))
Редактировалось: 2 раз (Последний: 17 июля 2010 в 15:03)
Все не то, чем кажется и не наоборот...
Посетитель
small user social cms
Медаль
Сообщений: 577
Спасибо!
ВАЖНО: Закрываем уязвимость в 1.6.2
Посетитель
small user social cms
Медаль
Сообщений: 334
присоединяюсь ко всем! спасибо!)
Посетитель
small user social cms
Медаль
Сообщений: 315
Спасибо. Ждем с нетерпением v
Россия - страна недокументированных возможностей.
Шаблоны Блог.
Sometime CMS Community
Посетитель
no avatar
Сообщений: 82
cgfcb,j
Посетитель
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 2596
Администратор:
Но лучше поздно чем никогда,
согласен)) спасибо
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4361
Anonimus:
сделать пресс-релиз так сказать
вот здесь частично можно узнать
а так же еще чуть здесь
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Сообщений: 57
переписал все в корень сайта с заменой.
выдает такую ошибку
Warning: Invalid argument supplied for foreach() in /home/site/cleaner.php on line 43
Sometime CMS Community
Посетитель
no avatar
Сообщений: 68
Спасибо огромное!
Sometime CMS Community
Посетитель
no avatar
Сообщений: 71
Спасибо за заботу.
Я уже локти себе кусаю ожидая следующую версию
Модератор
small user social cms
МедальПочетный тестер InstantCmsКубок зрительских симпатий
Сообщений: 710
Примите наши благодарности и признательность. Даже если для кого-то и было поздно, вы предусмотрели исправление и очистку. Спасибо...
И тогда, все будет так, как должно было бы быть..., даже если все будет наоборот...
В начало страницы
Предыдущая темаСледующая тема Перейти на форум: