Перейти к публикации

Рекомендованные сообщения

Прочитал в интернете такую статью :(

Обход ограничений безопасности в PHP

Уязвимые версии:

PHP 4.x

PHP 5.0.x

PHP 5.1.x

Обнаруженные уязвимости позволяют локальному пользователю обойти ограничения безопасности.

Описание:

Функция "mb_send_mail()" позволяет передавать дополнительные параметры sendmail с помощью параметра "additional_parameter". Злоумышленник может заставить sendmail прочитать произвольный файл в качестве конфигурационного файла и сохранить результат в произвольную доступную для записи директорию на системе. Злоумышленник может обойти ограничения "safe_mode" и "open_basedir" и просмотреть произвольные файлы на системе. Уязвимость существует в версии 5.1.2 и в версиях 4.х.

$additional_param = "-C ".$file_to_read." -X

".getcwd()."/".$output_file;

mb_send_mail($email_address, NULL, NULL, NULL, $additional_param);

P.S. способов устранения уязвимости не существует на данный момент

Вопрос: Реально ли так взломать сайт через DLE? Или DLE не использует такой функции mb_send_mail() ?

Ссылка на сообщение
Поделиться на других сайтах

Это радует! :)

Что-то я не в той теме создал топик :(

Ссылка на сообщение
Поделиться на других сайтах

Тему перенёс.

Сергей, извиняюсь за офтоп, скажите, так вы что, модер оказывается?

вроде объявления не видел, но вижу "Тему перенёс"

Ссылка на сообщение
Поделиться на других сайтах

Обалдеть, а тут вообще жесть написана про взломы:

http://forum.antichat.ru/threadnav52195-1-10.html

http://forum.antichat.ru/showthread.php?p=1379651

Даже версия 8.0 уже подходит под описание. Еще не пробовал, но написано убедительно!

Изменено пользователем WWW.ZEOS.IN
Ссылка на сообщение
Поделиться на других сайтах

Обалдеть, а тут вообще жесть написана про взломы:

http://forum.antichat.ru/threadnav52195-1-10.html

http://forum.antichat.ru/showthread.php?p=1379651

Даже версия 8.0 уже подходит под описание. Еще не пробовал, но написано убедительно!

а вот по этому хотелось бы услышать комментарии разработчика dle

Ссылка на сообщение
Поделиться на других сайтах

Обнаруженные уязвимости позволяют локальному пользователю обойти ограничения безопасности.

Без исполнения произвольного пхп кода, тут ничего не сделать.

Ссылка на сообщение
Поделиться на других сайтах

Тему перенёс.

Сергей, извиняюсь за офтоп, скажите, так вы что, модер оказывается?

вроде объявления не видел, но вижу "Тему перенёс"

Я перенёс её из раздела "Готовые модули".

Разве плохо, что я пытаюсь разгрузить Владимира?

Ссылка на сообщение
Поделиться на других сайтах

Тему перенёс.

Сергей, извиняюсь за офтоп, скажите, так вы что, модер оказывается?

вроде объявления не видел, но вижу "Тему перенёс"

Я перенёс её из раздела "Готовые модули".

Разве плохо, что я пытаюсь разгрузить Владимира?

наоборот хорошо!

B)

Ссылка на сообщение
Поделиться на других сайтах

а вот по этому хотелось бы услышать комментарии разработчика dle

какие комментарии? Там помойму написаны уязвимости, вот берете их и пробуете на своем сайте. На лицензионном дистрибутиве у вас ничего не получится, при условии конечно если вы ставили выпущенные ранее патчи безопасности. А если работает, то у вас нелегальный дистрибутив, на некоторых нелегальный версиях уязвимости работают на ура.

Ссылка на сообщение
Поделиться на других сайтах

На 8.0

http://forum.antichat.ru/threadnav52195-1-10.html

http://forum.antichat.ru/showthread.php?p=1379651

из изложенного без доступа в админку ни чего не канает проверил на своем....

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...