Провеббер » DataLife Engine » Релизы DLE » Патчи безопасности для версий 9.7 и ниже

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?

Обращайся к нам в ЛС группы Вконтакте.

Патчи безопасности для версий 9.7 и ниже

Автор: kpik2008 2012-11-19 DataLife Engine / Релизы DLE

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.

Скачать бесплатно Патчи безопасности для версий 9.7 и ниже.

Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

Ошибка в версии: 9.7 и все более ранние версии

Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

Для исправления скачайте и скопируйте на свой сервер патч.

Пользователи, использующие более ранние версии скрипта должны внести вручную следующие изменения в файлы скрипта:

1. Откройте файл engine/modules/sitelogin.php и найдите:

$dle_login_hash = "";

Ниже добавьте:

$_TIME = time () + ($config['date_adjust'] * 60);

Далее в этом файле найдите:

if( $member_id['user_id'] ) {

Ниже добавьте:

session_regenerate_id();

Далее в этом файле найдите:

$member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" );

Ниже добавьте:

session_regenerate_id();

2. Откройте файл engine/init.php и найдите:

if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) {

Замените на:

if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {

3. Откройте файл engine/modules/functions.php и найдите:

global $tpl;

Ниже добавьте:

if (!class_exists('dle_template')) {
return;
}

Внимание! У Вас нет прав для просмотра скрытого текста.

Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных

+10

Просмотры: 7 149 :: Комментарии (13) :: :: Нужна помощь? Задайте вопрос на форуме ::

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1selfire

20 ноября 2012 11:45
Регистрация: 5.03.2011

Был(а) онлайн: 19.08.2019
Комментариев: 30

Подскажите а как понять что включен register_globals

#223neon23

20 ноября 2012 12:20
Регистрация: 19.04.2010

Был(а) онлайн: 21.11.2024
Комментариев: 252

selfire, если он включен, тебя dle сам предупредит. В админку зайди и если внизу нет сообщений на красном фоне, то все нормально.

#3gugle

20 ноября 2012 17:05
Регистрация: 1.04.2012

Был(а) онлайн: 14.02.2013
Комментариев: 31

а если я просил своего хостера отключить register_globals и он её отключил, согласно phpinfo(), но надпись так и не убирается, следует ли ставить патч?!