http://maxbaks.ru Заработок в интернете. Платящие партнерки. Биржи ссылок. Tue, 20 Dec 2011 11:50:24 +0000 http://wordpress.org/?v=2.9.1 en hourly 1 http://maxbaks.ru/2009/12/26/dyra-v-bezopasnosti-sajta-na-dle-8-2/ http://maxbaks.ru/2009/12/26/dyra-v-bezopasnosti-sajta-na-dle-8-2/#comments Sat, 26 Dec 2009 16:33:55 +0000 Макс Бакс http://maxbaks.ru/?p=440 Для зарабатывающих на обмене файлами и использующих для этого движок DLE, и кто ставил давно. Обнаружена критическая уязвимость скрипта. Настолько всё просто, что даже не вериться, но проверив всё становится совершенно очевидным.
Если ввести http://название сайта с дырявым скриптом/index.php?do=lostpassword&douser=1 в строку браузера, запускается восстановление пароля. Злоумышленник получает пароль администратора и делает с вашим сайтом всё, что хочет.
В версии 8.3 этот глюк устранен. Версия 8.2 лечится заплаткой.
Скачать патч -
http://dle-news.ru/bags/v82/789-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html

Как вылечить:
В папке engine/modules надо заменить файл lostpassword.php. Собственно он и лежит в архиве.
P.S
У меня у самого два сайта на DLE 8.2 Никто не успел порезвиться. Время от времени заглядывайте на сайты производителей программного обеспечения, результатами труда которых вы пользуетесь.

]]> http://maxbaks.ru/2009/12/26/dyra-v-bezopasnosti-sajta-na-dle-8-2/feed/ 0