Устраняем угрозу в DLE 10.0 - 8.5

Раздел: DataLife Engine » Советы по DLE
Устраняем угрозу в DLE 10.0 - 8.5
Обнаружена новая угроза в новостном движке DataLife Engine 10.0 - 8.5 для всех версий . Это сообщение пришло недавно от разработчиков скрипта. Основная проблема связана с недостаточной фильтрацией данных в модуле сжатия файлов Minify, который входит в состав DLE. При определенных условиях может злоумышленникам позволить читать содержимое файлов серверного ПО. Степень опасности: Высокая, установка делается с помощью одной вставки.

Внимание! После установки данного исправления может пропасть функция редактирования и удаления новостей, чтобы исправить очистите кеш, всё снова заработает.
Устраняем угрозу в DLE 10.0 - 8.5
Ошибка в версии: 8.5 - 10.0
Степень опасности: Высокая

Для исправления откройте файл: /engine/classes/min/index.php и в самое начало файла после строчки:

<?php


добавьте:

PHP:
if (isset($_GET['f'])) { 
       $_GET['f'] = str_replace(chr(0), '', (string)$_GET['f']); 
} 


Источник данного сообщения.

Стоит отметить, что это угроза не в самом ДЛЕ, а есть вы используете стороннюю библиотеку Minify. Если Вы используете Minify на своих ресурсах, достаточно сделать обновление новой версии по следующей ссылке
  • 100
Рубрика: Все для DLE » Советы по ДЛЕ
Ранее » Исправляем высокую нагрузку в мобильной версии DLE« Далее Взлом DLE
Добавление комментарияОставить комментарий
  • № :11
  • 15 декабря 2013 16:46
Спасибо большое!
Исправил надеюсь глюков не будет
  • № :10
  • 21 сентября 2013 06:41
Спасибо, уже не актуально, сайт ушел далеко вперед, потерянные новости уже не важны, обошлось без санкций, индексация, посещаемость на месте.
  • № :9
  • 16 сентября 2013 22:19
могу почистить бд
  • № :8
  • 14 сентября 2013 19:24
Получил письмо с яндекса: Последняя проверка сайта *****.ru не выявила страниц, содержащих вредоносный код, хорошо бы без фильтра обошлось, а то ведь обидчивые эти системы, на прежний уровень могут и не вернуть, пока вывожусь с пометкой: Сайт может угрожать безопасности вашего компьютера или мобильного устройства.
  • № :7
  • 14 сентября 2013 15:45
я тоже не обратил внимание на эту уязвимость,
Внимание! У вас нет прав для просмотра скрытого текста.

но проблема серьезная, пострадал не я один, при том, яндекс не восстанавливает позиции, хотя сейчас все чисто.
Говорят зараза возвращается, видимо ждут, решения проблемы на уровне создателей движка, мало ли что я написал, а вредоносный код вернется, ждем ответ создателей DLE, насколько я понял, пока его нет, возможно существует и другая уязвимость, помимо заявленной,
Внимание! У вас нет прав для просмотра скрытого текста.

Сайты DLE уязвимы прямо сейчас кто то делает свои грязные дела...
  • № :6
  • 14 сентября 2013 13:32
Самое важное определить каким образом зараза попала в базу данных ...
  • № :5
  • 14 сентября 2013 10:13
нет, не работает, вернулся на старую чистую, но не полную базу, зато без заразы.
  • № :4
  • 14 сентября 2013 08:58
Такой способ не пробовали, он для БД удаление вирусов доктор для DLE
  • № :3
  • 14 сентября 2013 07:17
лично я не успел, сайт заразили, кто нибудь знает, как удалить код с базы данных, (прописан в каждой новости) очень длинный, поиск и замена не срабатывает.
Пришлось отказаться от новостей за три дня, в которые не делал копию базы.
  • № :2
  • 9 сентября 2013 19:16
Цитата: 3d12
наречие недавно пишется слитно!

согласен
  • № :1
  • 9 сентября 2013 15:24
наречие недавно пишется слитно!