Не знаю, насколько эффективно работают дезендеры, но думаю да.
Здравствуйте,
прошу прощения за случившееся. Не у вас, господа личнующие, но у пользователей скрипта. Да, эта закладка имела место быть. В вялотекущем проекте она тянулась с ранних версий, и в итоге получился казус, когда самой серьёзной уязвимостью оказался этот говнокод.
Я вообще забыл про эту лямбду! Вернее подозревал, что она где-то оставалась, но не придавал значения, уповая на защиту Зенда. Теперь есть подозрение, что код уже был декомпиллирован и уязвимость эксплуатировалась ранее, но без огласки.
Друзья, мне не нужен бэкдор для доступа к пользовательским файлам! В рамках техподдержки пользователи мне предоставляют доступ самостоятельно, а на партнёрском хостинге, которым пользуется большинство клиентов, у меня есть рутовый доступ ко всем серверам. Мне правда это не нужно!
Исправление я собрал сразу же как узнал об уязвимости, но обновления в скрипте не устанавливаются автоматически. Иногда пользователи обновляются частично, чтобы не затереть изменения в шаблонах, многие не обновляется вообще И теперь стою перед дилеммой - я могу написать процедуру, которая будет устранять уязвимость, удалённо, используюя её же. И прогнать её по клиенской базе. Но одновременно получится крайне нехороший прецедент, кода я использую уязвимость в собственном скрипте. Впрочем, учитывая произошедшее, это наверно уже не важно.
