Перейти к публикации

Недостаточная криптографическая устойчивость (предсказуемость кода).

veb74

Автор: veb74,
в DataLife Engine (Общие вопросы)

Рекомендованные сообщения

veb74

veb74 10

Опубликовано:
Опубликовано:

На главной

http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html

данный патч предназначен для всех версий скрипта

Хотел бы узнать - каких версий: 8.5 и 9.0 тоже обновлять ?

Что за уязвимость была?

Ссылка на сообщение
Поделиться на других сайтах
Nektov

Nektov 60

Опубликовано:
Опубликовано:

Хотел бы узнать - каких версий: 8.5 и 9.0 тоже обновлять ?

Ошибка в версии: 9.6 и все более ранние версии

Что за уязвимость была?

Проблема: Недостаточная криптографическая устойчивость (предсказуемость кода).

Или вам инструкцию по пользованию ошибкой?

Ссылка на сообщение
Поделиться на других сайтах
chelnovosti_ru

chelnovosti_ru 2

Опубликовано:
Опубликовано:

Хотя бы объясните в двух словах на что влияет? Просто у меня в последнее время очень сильно выросла нагрузка...Возможно ли это из-за этой дыры?

Ссылка на сообщение
Поделиться на других сайтах
Nektov

Nektov 60

Опубликовано:
Опубликовано:

Возможно ли это из-за этой дыры?

Давайте логично размышлять.

В каком файле нашли уязвимость? За что отвечает сей файл?

Я думаю ответ на ваш вопрос вы уже знаете. :)

Ссылка на сообщение
Поделиться на других сайтах
Captain

Captain 636

Опубликовано:
Опубликовано:

Грубо говоря (как я понял), просто усилили алгоритм шифрования данных при их передаче.

Криптографическая стойкость

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

Просто у меня в последнее время очень сильно выросла нагрузка...Возможно ли это из-за этой дыры?

Нет на нагрузку это никак не влияет.

То есть на сайты, где отключена регистрация это не влияет?

Влияет, администратор у сайта есть в любом случае независимо от того включена регистрация или нет. А значит есть хотя бы один пользователь. Ставить патч нужно всем независимо от того что включено или отключено на сайте.

Суть этой уязвимости заключается в том что мощности современных копьютеров позволяют предсказать генерируемый скриптом код. Причем стойкость сайта зависит от OS на котором стоит сайт. Наиболее уязвимы сайты на windows, наименее уязвимы на linux. Но опасность существует для всех, поэтому рейтинг опасности высокий, патч нужно ставить обязательно.

Ссылка на сообщение
Поделиться на других сайтах
Captain

Captain 636

Опубликовано:
Опубликовано:

...а там где стоят старые версии просто удалил этот файл.

Железная логика, просто заменить файл не судьба видимо.

Ссылка на сообщение
Поделиться на других сайтах
ATHF

ATHF 33

Опубликовано:
Опубликовано:

Получается что изменили шифрование ключа, раньше его можно было вычислить перебором чисел (14 в 34 степени). А сейчас перебор не поможет.

celsoft, вы используете устаревшую версию скрипта.

когда уже закроете?

http://dle-news.ru/engine/ajax/updates.php

не критично, но как то неприятно.

Ссылка на сообщение
Поделиться на других сайтах
Nektov

Nektov 60

Опубликовано:
Опубликовано:

celsoft, вы используете устаревшую версию скрипта. когда уже закроете? http://dle-news.ru/e...jax/updates.php

Оно такое показывает на всех сайтах, вне зависимости от версии скрипта.

Ссылка на сообщение
Поделиться на других сайтах
ATHF

ATHF 33

Опубликовано:
Опубликовано:

Оно такое показывает на всех сайтах, вне зависимости от версии скрипта.

Переменная с версией не передается. Должны видеть Hacking attempt.

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

Переменная с версией не передается. Должны видеть Hacking attempt.

Зачем они должны видеть Hacking attempt? Это какое то обязательное требование? Я не вижу необходимости данной надписи в этом файле.

Ссылка на сообщение
Поделиться на других сайтах
pushkinmdv

pushkinmdv 1

Опубликовано:
Опубликовано:

Как правильно сохранять пути к файлам??? А то после копирования сайт вообще не открывается?

"Для установки исправления, скачайте патч и скопируйте файлы из архива на свой сервер с сохранением путей к файлам."

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

Как правильно сохранять пути к файлам??? А то после копирования сайт вообще не открывается?

У другом у вас причина проблема. И открытие или нет сайта от данного файла не зависит вообще, хоть вообще его не будет. Этот файл используется только в функциях восстановления пароля, и не используется вообще при простом открытии сайта. Ищите проблему в другом, если ваш сайт периодически не открывается, то вам нужно обращаться к вашему хостинг провайдеру, у вас сервер нестабильно работает где сайт расположен.

Как правильно сохранять пути к файлам???

просто возмьмите файл lostpassword.php из архива и скопируйте его в папку engine/modules/

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6230

Опубликовано:
Опубликовано:

Да нет он пишет ошибку доатупа к базе mysql 41А можно просто файл lostpassword.php закинуть из патча и все?

Не имеет данный патч никакого отношения к вашей проблеме, он никак не связан с доступом к MySQL. Вам нужно проверять работоспособность вашего MySQL сервера в данном случае. Может быть вы изменили пароль от MySQL, теперь тогда вам нужно указать новый пароль в файле engine/data/dbconfig.php

А можно просто файл lostpassword.php закинуть из патча и все?

это собственно и нужно делать, просто взять и скопировать его на сервер.

Вообще то патч скачивается отдельно http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html и никаких других файлов в этом патче нет, кроме lostpassword.php

Ссылка на сообщение
Поделиться на других сайтах
pushkinmdv

pushkinmdv 1

Опубликовано:
Опубликовано:

Вернул всю папку engine, хорошо что сделал копию, потом из патча скопировал файл lostpassword.php и переписал его в папке engine/modules/

правильно?

Ссылка на сообщение
Поделиться на других сайтах
WWW.ZEOS.IN

WWW.ZEOS.IN 1161

Опубликовано:
Опубликовано:

потом из патча скопировал файл lostpassword.php и переписал его в папке engine/modules/ правильно?

Правильно :)

Ссылка на сообщение
Поделиться на других сайтах
Rival

Rival 0

Опубликовано:
Опубликовано:

У меня на dle 7.3 после патча выдаёт в письме две ссылки

1. ...index.php?do=lostpassword&action=password&douser...

2. ...index.php?do=lostpassword&action=ip&douser...

На какую не нажми, получаем ошибку "Пользователь с таким именем не запрашивал восстановление пароля, либо данная ссылка уже устарела."

Почему так может быть?

Ссылка на сообщение
Поделиться на других сайтах
veb74

veb74 10

Опубликовано:
Опубликовано: Автор

Суть этой уязвимости заключается в том что мощности современных копьютеров позволяют предсказать генерируемый скриптом код. Причем стойкость сайта зависит от OS на котором стоит сайт. Наиболее уязвимы сайты на windows, наименее уязвимы на linux. Но опасность существует для всех, поэтому рейтинг опасности высокий, патч нужно ставить обязательно.

Спасибо.

Но всё равно неприятно. Столько лет работали с дырой в движке.

И как включить уведомления на емейл?

Здесь уже аж две страницы нафлудили, а уведомления внутренние, для тех кто здесь живет, он и сам увидит ответы новые.

Ссылка на сообщение
Поделиться на других сайтах

Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Перейти к списку тем
×
×
  • Создать...