Ликвидирована опасная уязвимость Cmsimple

12
VD
На сайте с 14.08.2004
Offline
143
1190

Подробнее о найденной уязвимости здесь, здесь и на оф. сайте

Всем срочно обновляться

psylosss
На сайте с 23.12.2005
Offline
126
#1

даже и не знаю, как воспринимать такие новости: то ли радоваться, что уязвимость прикрыли, то ли огорчаться, что она вообще была

Веб-разработка. Сложные проекты. Проектирование. Проект-менеджмент. Стартапы.
[Удален]
#2
psylosss:
то ли радоваться, что уязвимость прикрыли, то ли огорчаться, что она вообще была

И то и другое одновременно, но больше радоваться (оптимизм вообще штука хорошая)

Уязвимости были и есть всегда, и будут до тех пор пока компьютеры не будут сами писать софт (человеческий фактор в программировании одно из самых слабых звеньев) но и в том случае ошибки не исключены, ибо софт пишущий софт тоже напишут люди...

psylosss
На сайте с 23.12.2005
Offline
126
#3

Зингельшухер, в общем случае, согласен. А если уязвимость действительно критическая и опасная?

iBBi
На сайте с 13.02.2007
Offline
316
#4
psylosss:
Зингельшухер, в общем случае, согласен. А если уязвимость действительно критическая и опасная?

Очень и очень! К Вам могут загрузить шелл.

Продукты ispsystem по минимальным ценам (http://www.isplicense.ru/?from=4926)
VD
На сайте с 14.08.2004
Offline
143
#5
psylosss:
Зингельшухер, в общем случае, согласен. А если уязвимость действительно критическая и опасная?

Радоваться, что вы не пострадали, что автор быстро профиксил баг и быстрее обновить систему.

Зингельшухер:
Уязвимости были и есть всегда, и будут до тех пор пока компьютеры не будут сами писать софт...

Точно, "человеку свойственно ошибаться". Главное вовремя исправлять свои ошибки.

[Удален]
#6
VadD:
Главное вовремя исправлять свои ошибки

Главное не допускать их, но если уж случилось тогда уж поторопиться исправить...

psylosss
На сайте с 23.12.2005
Offline
126
#7
iBBi:
Очень и очень! К Вам могут загрузить шелл.

Кстати, если кто-нибудь ткнет ссылкой как это можно сделать и, особенно, как от этого защититься, буду очень благодарен

[Удален]
#8
psylosss:
особенно, как от этого защититься

Запретить через .htaccess исполнение РНР файлов во всех папках с chmod "777"

(и это касается не только этого движка, а вообще 99% уязвимостей подобного рода)

LEOnidUKG
На сайте с 25.11.2006
Offline
1745
#9
Зингельшухер:
Запретить через .htaccess исполнение РНР файлов во всех папках с chmod "777"
(и это касается не только этого движка, а вообще 99% уязвимостей подобного рода)

Что-то типо такого 🙄


<Files ~ "\.php">
Order allow,deny
Deny from all
</Files>

<Files ~ "\.php3">
Order allow,deny
Deny from all
</Files>

<Files ~ "\.php4">
Order allow,deny
Deny from all
</Files>

<Files ~ "\.php5">
Order allow,deny
Deny from all
</Files>
✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
[Удален]
#10

Единственное что я забыл сказать что для данного конкретного случая более чем достаточно выключить "register_globals" (если они включены)

Но мой совет не только для этого движка, а вообще для такой фишки как "заливка шелов"

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий