Мы в твиттере Мы в телеграме!

Провеббер » DataLife Engine » Релизы DLE » Патчи безопасности для версий 9.7 и ниже

Набор в команду! Ведется набор в команду, для наполнения сайта новым, интересным контентом. Если у тебя есть предложения, свободное время, ты обладаешь интересным контентом, и хочешь поделиться с другими?
Обращайся к нам в ЛС группы Вконтакте.

Патчи безопасности для версий 9.7 и ниже

Данный материал предоставлен сайтом ProWebber.cc исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
Скачать бесплатно Патчи безопасности для версий 9.7 и ниже.

Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

Ошибка в версии: 9.7 и все более ранние версии

Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

Для исправления скачайте и скопируйте на свой сервер патч.

Пользователи, использующие более ранние версии скрипта должны внести вручную следующие изменения в файлы скрипта:

1. Откройте файл engine/modules/sitelogin.php и найдите:
$dle_login_hash = "";


Ниже добавьте:
$_TIME = time () + ($config['date_adjust'] * 60);


Далее в этом файле найдите:
if( $member_id['user_id'] ) {


Ниже добавьте:
session_regenerate_id();


Далее в этом файле найдите:
        $member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" );


Ниже добавьте:
session_regenerate_id();


2. Откройте файл engine/init.php и найдите:

if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) {


Замените на:
if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {


3. Откройте файл engine/modules/functions.php и найдите:
global $tpl;


Ниже добавьте:
if (!class_exists('dle_template')) {
        return;
    }



Внимание! У Вас нет прав для просмотра скрытого текста.


Дополнительные ссылки на скачивание ТОЛЬКО для зарегистрированных


+10
Просмотры: 7 155 :: Комментарии (13) :: :: Нужна помощь? Задайте вопрос на форуме ::
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1selfire

  • 20 ноября 2012 11:45
  • Регистрация: 5.03.2011
  • Был(а) онлайн: 19.08.2019
  • Комментариев: 30
  • 0
Подскажите а как понять что включен register_globals

#223neon23

  • 20 ноября 2012 12:20
  • Регистрация: 19.04.2010
  • Был(а) онлайн: 8.12.2024
  • Комментариев: 252
  • +1
selfire, если он включен, тебя dle сам предупредит. В админку зайди и если внизу нет сообщений на красном фоне, то все нормально.

#3gugle

  • 20 ноября 2012 17:05
  • Регистрация: 1.04.2012
  • Был(а) онлайн: 14.02.2013
  • Комментариев: 31
  • 0
а если я просил своего хостера отключить register_globals и он её отключил, согласно phpinfo(), но надпись так и не убирается, следует ли ставить патч?!

#4selfire

  • 20 ноября 2012 17:14
  • Регистрация: 5.03.2011
  • Был(а) онлайн: 19.08.2019
  • Комментариев: 30
  • 0
gugle,
на всякий случай лучьше поставить))

#523neon23

  • 20 ноября 2012 17:15
  • Регистрация: 19.04.2010
  • Был(а) онлайн: 8.12.2024
  • Комментариев: 252
  • +1
gugle, слепой?
Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

#6Dr. Neo

  • 21 ноября 2012 17:09
  • Регистрация: 3.12.2009
  • Был(а) онлайн: 19.10.2019
  • Комментариев: 393
  • -7
Вот блин... и эту дырку целка закрыл(

#7zhr07

  • 21 ноября 2012 20:13
  • Регистрация: 2.12.2009
  • Был(а) онлайн: 14.11.2022
  • Комментариев: 79
  • -3
Dr. Neo,
Пшел нах

#8Dr. Neo

  • 21 ноября 2012 22:44
  • Регистрация: 3.12.2009
  • Был(а) онлайн: 19.10.2019
  • Комментариев: 393
  • -6
Цитата: zhr07
Dr. Neo,
Пшел нах

ты у меня щас туда сам побежишь, ублюдок ты недоделанный)

#9On3g1n

  • 22 ноября 2012 19:45
  • Регистрация: 12.03.2010
  • Был(а) онлайн: 30.01.2022
  • Комментариев: 20
  • +1
Откуда информация? Источник?

#1023neon23

  • 22 ноября 2012 21:26
  • Регистрация: 19.04.2010
  • Был(а) онлайн: 8.12.2024
  • Комментариев: 252
  • +1
On3g1n, fool
dle-news

#11kpik2008

  • 23 ноября 2012 01:55
  • Регистрация: 6.02.2010
  • Был(а) онлайн: 18.03.2024
  • Комментариев: 23
  • +1
Цитата: On3g1n
Откуда информация? Источник?


С официального сайта.

--------------------

#12On3g1n

  • 25 ноября 2012 21:42
  • Регистрация: 12.03.2010
  • Был(а) онлайн: 30.01.2022
  • Комментариев: 20
  • +1
kpik2008,
благодарю! Тогда пожалуй внесу корректировки.

#13kpik2008

  • 29 ноября 2012 11:54
  • Регистрация: 6.02.2010
  • Был(а) онлайн: 18.03.2024
  • Комментариев: 23
  • 0
On3g1n,

Пожалуйста, конечно внесите изменение! drink

--------------------

Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Архив новостей
Декабрь 2024 (10)
Ноябрь 2024 (9)
Октябрь 2024 (169)
Сентябрь 2024 (13)
Август 2024 (60)
Июль 2024 (12)

Последние комментарии: