В сети появилась информация о уязвимости сайтов, использующих CMS DLE.
Уязвимость связана с неопределенностью одной из переменных.
Обращаем внимание на то, что во избежание взлома площадок, владельцам сайтов на DLE следует обратиться к официальному разработчику с просьбой исправить данную ситуацию.
Каким способом можно защититься?
И были ли у вас проблемы с DLE?
Если есть программисты то помогите тем кому это не дано. Подскажите как защитить переменную от взлома.
С Уважением Евгений.
[>10 рейтинга] Раздел: Программирование, последний комментарий: 18.01.2013 15:54 Тема закрыта автором
Ссылку не дам, но инфа проверена официальными сайтами! Скоро всем станет известно.
На официальных сайтах сказано:
следует обратиться к официальному разработчику с просьбой исправить данную ситуацию
В сети появилась информация о уязвимости сайтов, использующих CMS DLE.
Уязвимость связана с неопределенностью одной из переменных.
Обращаем внимание на то, что во избежание взлома площадок, владельцам сайтов на DLE следует обратиться к официальному разработчику с просьбой исправить данную ситуацию.
Каким способом можно защититься?
И были ли у вас проблемы с DLE?
Если есть программисты то помогите тем кому это не дано. Подскажите как защитить переменную от взлома.
С Уважением Евгений.
Опиши уязвимость, мне что, все переменные проверять
Собственно, на офф.сайте информации пока нет, однако на ачате уже давно идёт обсуждение баги с неопределенностью переменной $_TIME в некоторых случаях.
Что можно сделать? Перевести юзера в группу 1 т.е сделать администратором => SQL Inj.
#1 Как лечить?
Открыть файлик sitelogin.php (находится в папке engine/modules/)
Найти:
PHP код:
if( $is_logged ) { // проверка авторизации
Сразу после этого дописать
Код:
if(!$_TIME) $_TIME = time() + ($config['date_adjust'] * 60); // определение переменной $_TIME
Пофиксили? Читаем дальше
#2 В каких версиях SQL Inj?
Посмотрел только по клиентским сайтам, а это от 7х и до 9.7 - есть во всех версиях из этого диапазона.