prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Всё для вебмастера » Всё для DataLife Engine » Релизы DLE » Патчи безопасности для версий 9.7 и ниже

Патчи безопасности для версий 9.7 и ниже


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно Патчи безопасности для версий 9.7 и ниже.


Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

Ошибка в версии: 9.7 и все более ранние версии

Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

Для исправления скачайте и скопируйте на свой сервер патч.

Пользователи, использующие более ранние версии скрипта должны внести вручную следующие изменения в файлы скрипта:

1. Откройте файл engine/modules/sitelogin.php и найдите:
$dle_login_hash = "";


Ниже добавьте:
$_TIME = time () + ($config['date_adjust'] * 60);


Далее в этом файле найдите:
if( $member_id['user_id'] ) {


Ниже добавьте:
session_regenerate_id();


Далее в этом файле найдите:
        $member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" );


Ниже добавьте:
session_regenerate_id();


2. Откройте файл engine/init.php и найдите:

if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) {


Замените на:
if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {


3. Откройте файл engine/modules/functions.php и найдите:
global $tpl;


Ниже добавьте:
if (!class_exists('dle_template')) {
        return;
    }



Внимание! У вас нет прав для просмотра скрытого текста.


+14
Просмотры: 5599 VIP ProWebber | Комментарии (13)
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1selfire

  • 20 ноября 2012 11:45
  • Регистрация: 5.03.2011
  • ICQ: 636313831
  • Комментариев: 30
Подскажите а как понять что включен register_globals

0

#223neon23

  • 20 ноября 2012 12:20
  • Регистрация: 19.04.2010
  • ICQ: 4536197
  • Комментариев: 254
  • Выкл.
selfire, если он включен, тебя dle сам предупредит. В админку зайди и если внизу нет сообщений на красном фоне, то все нормально.

+1

#3gugle

  • 20 ноября 2012 17:05
  • Регистрация: 1.04.2012
  • ICQ: --
  • Комментариев: 31
а если я просил своего хостера отключить register_globals и он её отключил, согласно phpinfo(), но надпись так и не убирается, следует ли ставить патч?!

0

#4selfire

  • 20 ноября 2012 17:14
  • Регистрация: 5.03.2011
  • ICQ: 636313831
  • Комментариев: 30
gugle,
на всякий случай лучьше поставить))

0

#523neon23

  • 20 ноября 2012 17:15
  • Регистрация: 19.04.2010
  • ICQ: 4536197
  • Комментариев: 254
  • Выкл.
gugle, слепой?
Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

+1

#6Dr. Neo

  • 21 ноября 2012 17:09
  • Регистрация: 3.12.2009
  • ICQ: 370771525
  • Комментариев: 400
  • Выкл.
Вот блин... и эту дырку целка закрыл(

-7

#7zhr07

  • 21 ноября 2012 20:13
  • Регистрация: 2.12.2009
  • ICQ: --
  • Комментариев: 79
Dr. Neo,
Пшел нах

-3

#8Dr. Neo

  • 21 ноября 2012 22:44
  • Регистрация: 3.12.2009
  • ICQ: 370771525
  • Комментариев: 400
  • Выкл.
Цитата: zhr07
Dr. Neo,
Пшел нах

ты у меня щас туда сам побежишь, ублюдок ты недоделанный)

-6

#9On3g1n

  • 22 ноября 2012 19:45
  • Регистрация: 12.03.2010
  • ICQ: 8065656
  • Комментариев: 20
Откуда информация? Источник?

+1

#1023neon23

  • 22 ноября 2012 21:26
  • Регистрация: 19.04.2010
  • ICQ: 4536197
  • Комментариев: 254
  • Выкл.
On3g1n, fool
dle-news

+1

#11kpik2008

  • 23 ноября 2012 01:55
  • Регистрация: 6.02.2010
  • ICQ: --
  • Комментариев: 23
  • Выкл.
Цитата: On3g1n
Откуда информация? Источник?


С официального сайта.

--------------------

+1

#12On3g1n

  • 25 ноября 2012 21:42
  • Регистрация: 12.03.2010
  • ICQ: 8065656
  • Комментариев: 20
kpik2008,
благодарю! Тогда пожалуй внесу корректировки.

+1

#13kpik2008

  • 29 ноября 2012 11:54
  • Регистрация: 6.02.2010
  • ICQ: --
  • Комментариев: 23
  • Выкл.
On3g1n,

Пожалуйста, конечно внесите изменение! drink

--------------------

0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки