Бормотухи.НЕТ

Наши файлы Пользователи Календарь Новые сообщения [Без флейма] F.A.Q. Игры для андроид
Вернуться   Бормотухи.НЕТ > Web-мастеру > DataLife Engine
Перезагрузить страницу [Инструкция] Патчи безопасности для версий 9.7 и ниже
Расширенный поиск
Правила форума Регистрация Все альбомы Сообщения за день

DataLife Engine Скачать хаки для DLE, темы для DLE

Ответ
 
Опции темы Поиск в этой теме
Старый 19.11.2012, 09:16 Вверх   #1
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
Хорошо Патчи безопасности для версий 9.7 и ниже
Патчи безопасности для версий 9.7 и ниже

Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

Ошибка в версии: 9.7 и все более ранние версии

Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

Для исправления скачайте и скопируйте на свой сервер патч: dle97_path.zip (16.1 Кб), данный патч предназначен только для версии 9.7 скрипта.

Пользователи, использующие более ранние версии скрипта должны внести вручную следующие изменения в файлы скрипта:

1. Откройте файл engine/modules/sitelogin.php и найдите:

PHP код:
$dle_login_hash ""
Ниже добавьте:

PHP код:
$_TIME time () + ($config['date_adjust'] * 60); 
Далее в этом файле найдите:

PHP код:
        if( $member_id['user_id'] ) { 
Ниже добавьте:

PHP код:
            session_regenerate_id(); 
Далее в этом файле найдите:

PHP код:
        $member_id $db->super_query"SELECT * FROM " USERPREFIX "_users WHERE user_id='" intval$_COOKIE['dle_user_id'] ) . "'" ); 
Ниже добавьте:

PHP код:
            session_regenerate_id(); 

2. Откройте файл engine/init.php и найдите:

PHP код:
    if (in_array $_POST['dlenewssortby'], $allowed_sort )) { 
Замените на:

PHP код:
    if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort"dle_sort_") === 0) { 
3. Откройте файл engine/modules/functions.php и найдите:

PHP код:
    global $tpl
Ниже добавьте:

PHP код:
    if (!class_exists('dle_template')) {
        return;
    } 
Источник dle-news.ru
Последний раз редактировалось Serberg; 19.11.2012 в 09:21..
  Ответить с цитированием
Старый 19.11.2012, 17:57 Вверх   #2
Знаток
 
Аватар для apelisin
apelisin вне форума
Доп. информация
По умолчанию
уже версия 9.7 а всё дырявая...Интересно,они сделают когда то полность защищенную версию скрипта?)
  Ответить с цитированием
Старый 19.11.2012, 21:58 Вверх   #3
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию
apelisin, видимо никогда. DLE всегда славилась дырками.
  Ответить с цитированием
Ответ

« Предыдущая тема | Следующая тема »

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Текущее время: 10:00. Часовой пояс GMT +3.

Обратная связь - Архив - Вверх

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.08901 секунды с 13 запросами