• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.     Помогите модератору этого раздела killoff лично.

Информация DataLife Engine v.11.2 Final Release

Версии 11.1 и ниже - уязвимы! это про нул или про все версии?
 
Речь об оригинальных дистрибутивах, а следовательно - обо всех.

Об уязвимости пиратских версий говорилось много раз. Качая дистрибутив где-либо, кроме dle-news.ru, вы принимаете на себя риски связанные с возможностью наличия вирусов, бекдоров и т.д.
 
Благодарю за ясность, а что насчет на mid-team.ws вроде как руборд рекомендует у них
 
@shadowmask, ответ выше касается всех без исключения. Единственный надёжный источник - dle-news.ru. Всё остальное - на Ваш страх и риск.
 
Как быстро ДЛЕльщики просекут что мой сайт на нуленой версии?
 
coyote2009 написал(а):
Как быстро ДЛЕльщики просекут что мой сайт на нуленой версии?
Нажмите для раскрытия...
В момент установки...
Ну ладно, не установки, скорее всего. Но как только будет проиндексирован - точно.
 
я так понимаю 11.2 - тоже уязвима, можете под сказать как исправить уязвимость.
 
  • Автор темы
  • Модер.
  • #49
Итак, уже в общем шестой релиз версии 11.2 :lol:

В последнем релизе добавлен фикс go.php но в отличие от того что указано в баг-фиксе, код
PHP: 
$url = @rawurldecode ( $_GET['url'] );
$url = @base64_decode ( $url );
$url = @str_replace ( "&", "&", $url );

$_SERVER['HTTP_REFERER'] = reset_url ( $_SERVER['HTTP_REFERER'] );
$_SERVER['HTTP_HOST'] = reset_url ( $_SERVER['HTTP_HOST'] );

if (($_SERVER['HTTP_HOST'] != $_SERVER['HTTP_REFERER']) OR $url == "") {
    @header ( 'Location: /index.php' );
    die ( "Access denied!!!<br /><br />Please visit <a href=\"/index.php\">{$_SERVER['HTTP_HOST']}</a>" );
был заменен на
PHP: 
$url = rawurldecode ( (string)$_GET['url'] );
$url = @base64_decode ( $url );
$url = str_replace ( "&amp;", "&", $url );
$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&amp;", "&", $url );

$_SERVER['HTTP_REFERER'] = reset_url ( $_SERVER['HTTP_REFERER'] );
$_SERVER['HTTP_HOST'] = reset_url ( $_SERVER['HTTP_HOST'] );

if (($_SERVER['HTTP_HOST'] != $_SERVER['HTTP_REFERER']) OR $url == "") {
    @header ( 'Location: /index.php' );
    die ( "Access denied!!!" );

На данный момент кеши:
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
 
На самом деле, очень странная позиция разработчика...

Я понимаю, когда фикс касается орфографии или сравнимого изменения в коде. Это не критично, 99% людей даже не заметит его.
Но здесь речь о безопасности. В go.php есть серьёзная уязвимость, позволяющая подсунуть человеку URL и выполнить JS (XSS). Исправления касаются безопасности и об этом не сообщают.

И это на фоне регулярных заявлений WordPress и Joomla "Мы пофиксили очередную дыру"...
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху