Поиск по сайту
Вход на сайт
Обратите внимание
Топ-новости
Архив сайта
Апрель 2016 (1)
Апрель 2014 (1)
Ноябрь 2013 (1)
Октябрь 2013 (1)
Май 2013 (2)
Апрель 2013 (8)
Партнеры

seo-monster.ru - сервис проверки доменов
хочешь такой же информер? Информер ТИЦ и PR

На сайте разработчика dle-news.ru опубликована заплатка, которую рекомендуется установить на все версии ДЛЕ.

Достаточно скачать ее с http://dle-news.ru/files/dle96_path.zip и скопировать содержимое архива на ваш сайт.

Подробнее читайте на сайте dle-news.ru

Совсем недавно юные хацкеры почувствовали себя богами и начали по своей базе ДЛЕ-сайтов распихать свой код. Работает такой код у тех, кто опять забыл выключить register_globals в php.ini(ну или хостинг сделал сам такую гадость).

Кого ещё не взломали - выставляйте register_globals off
В файле .htaccess пишется такое
php_flag register_globals off
или добавить в начало index.php
ini_set('register_globals', 'Off');

А теперь правим дырку в движке. Для этого переходим по ссылке
http://dle-news.ru/bags/v90/1127-nedostatochnaya-filtraciya-vhodyaschih-dannyh.html
и лечим... лечим.. :)

А теперь как удалить то, что нам добавили в новости DLE

DLE уязвимость - Недостаточная фильтрация входящих данных
Очередная DLE уязвимость


Суть DLE уязвимости: Если у вас на сайте есть пользователи которым разрешена загрузка фалов(не картинок) на сайт, то этот юзер имеет возможность указать путь загрузки не типичный для сохранения загружаемых файлом. Ещё хуже если юзер имеет права админа. В этом случае он может заменить своим файлом существующий и запустить его. Тем самым сделать он сможет что угодно с вашим сайтом. Тут уж дело за его фантазией и навыками.
DLE уязвимость работает на версиях: любые DLE

Уровень риска: Средняя (Высокая при наличии админов на сайте кроме вас самих хотя и Вас могут взломать и сделать каку)

Исправляем показ файлов .swf


Работаю с движком версии 8.2! Недавно создал на нем еще один проект с flash играми и мультами.
Естественно, загрузил игру, вставил flash в полную новость, поставил размер и нажал добавить.
Затем перешел на сайт что бы взглянуть как отображается flash игра и попутал пидали.
1) Не отображает flash у которых предусмотрен задний фон. (как показано на левой картинке)
2) Если у пользователя не установлен flash плеер или установлена старая версия, то он так и не поймет отчего не загружается игра. (то есть ему не покажет ошибку и ссылку для загрузки и установки плеера).

Если кто встречался с этой проблемой, то читаем далее как исправить...

Проблема: Недостаточная фильтрация входящих данных в регистрации.
Ошибка в версии: все версии
Степень опасности: Низкая
Баг нашёл: Lion__
Celsoft, если уже будешь выкладывать в багфиксах, то укажи хотябы автора найденного бага

На сайте dle-news.ru выложена новость о том, что в Datalife Engine 8.2 обнаружена уязвимость связанная с восстановлением пароля. Рекомендуется всем(!!!) срочно заменить файл engine/modules/lostpassword.php.
Текст заявления:


Недостаточная фильтрация входящих данных

Уведомляем вас о выходе патча.

Проблема: Недостаточная фильтрация входящих данных в модуле восстановления пароля.

Ошибка в версии: только 8.2, версии ниже 8.2, а также актуальная версия 8.3 данной уязвимости не подвержены

Степень опасности: Очень высокая

Для исправления скачайте и скопируйте на свой сервер патч: _http://dle-news.ru/files/dle82_path.zip

Автор: nickon.

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: все версии

Степень опасности: Низкая, применима только на устаревших версиях браузера Opera

Ручное исправление:

Откройте файл: engine/modules/imagepreview.php

найдите:

$_GET['image'] = htmlspecialchars ($_GET['image'], ENT_QUOTES);



ниже добавьте:

$_GET['image'] = str_replace( "document.cookie", "", $_GET['image'] );
$_GET['image'] = str_replace( "javascript", "", $_GET['image'] );


if ( preg_match( "/[?&;%<\[\]]/", $_GET['image']) ) {

$_GET['image'] = "";

}

Вверх