veb74 10 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 На главной http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html данный патч предназначен для всех версий скрипта Хотел бы узнать - каких версий: 8.5 и 9.0 тоже обновлять ? Что за уязвимость была? Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Хотел бы узнать - каких версий: 8.5 и 9.0 тоже обновлять ? Ошибка в версии: 9.6 и все более ранние версии Что за уязвимость была? Проблема: Недостаточная криптографическая устойчивость (предсказуемость кода). Или вам инструкцию по пользованию ошибкой? 1 Цитата Ссылка на сообщение Поделиться на других сайтах
chelnovosti_ru 2 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Хотя бы объясните в двух словах на что влияет? Просто у меня в последнее время очень сильно выросла нагрузка...Возможно ли это из-за этой дыры? Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Возможно ли это из-за этой дыры? Давайте логично размышлять. В каком файле нашли уязвимость? За что отвечает сей файл? Я думаю ответ на ваш вопрос вы уже знаете. Цитата Ссылка на сообщение Поделиться на других сайтах
chelnovosti_ru 2 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Ага...) Цитата Ссылка на сообщение Поделиться на других сайтах
Taganay 27 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 То есть на сайты, где отключена регистрация это не влияет? Цитата Ссылка на сообщение Поделиться на других сайтах
chelnovosti_ru 2 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 То есть на сайты, где отключена регистрация это не влияет? Думаю, что нет. Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 625 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Грубо говоря (как я понял), просто усилили алгоритм шифрования данных при их передаче. Криптографическая стойкость Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Просто у меня в последнее время очень сильно выросла нагрузка...Возможно ли это из-за этой дыры? Нет на нагрузку это никак не влияет. То есть на сайты, где отключена регистрация это не влияет? Влияет, администратор у сайта есть в любом случае независимо от того включена регистрация или нет. А значит есть хотя бы один пользователь. Ставить патч нужно всем независимо от того что включено или отключено на сайте. Суть этой уязвимости заключается в том что мощности современных копьютеров позволяют предсказать генерируемый скриптом код. Причем стойкость сайта зависит от OS на котором стоит сайт. Наиболее уязвимы сайты на windows, наименее уязвимы на linux. Но опасность существует для всех, поэтому рейтинг опасности высокий, патч нужно ставить обязательно. Цитата Ссылка на сообщение Поделиться на других сайтах
Taganay 27 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Я на свежих версиях поставил патч, а там где стоят старые версии просто удалил этот файл. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 625 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 ...а там где стоят старые версии просто удалил этот файл. Железная логика, просто заменить файл не судьба видимо. 2 Цитата Ссылка на сообщение Поделиться на других сайтах
ATHF 33 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Получается что изменили шифрование ключа, раньше его можно было вычислить перебором чисел (14 в 34 степени). А сейчас перебор не поможет.celsoft, вы используете устаревшую версию скрипта. когда уже закроете? http://dle-news.ru/engine/ajax/updates.php не критично, но как то неприятно. Цитата Ссылка на сообщение Поделиться на других сайтах
Nektov 59 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 celsoft, вы используете устаревшую версию скрипта. когда уже закроете? http://dle-news.ru/e...jax/updates.php Оно такое показывает на всех сайтах, вне зависимости от версии скрипта. Цитата Ссылка на сообщение Поделиться на других сайтах
ATHF 33 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Оно такое показывает на всех сайтах, вне зависимости от версии скрипта. Переменная с версией не передается. Должны видеть Hacking attempt. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Переменная с версией не передается. Должны видеть Hacking attempt. Зачем они должны видеть Hacking attempt? Это какое то обязательное требование? Я не вижу необходимости данной надписи в этом файле. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
pushkinmdv 1 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Как правильно сохранять пути к файлам??? А то после копирования сайт вообще не открывается? "Для установки исправления, скачайте патч и скопируйте файлы из архива на свой сервер с сохранением путей к файлам." Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Как правильно сохранять пути к файлам??? А то после копирования сайт вообще не открывается? У другом у вас причина проблема. И открытие или нет сайта от данного файла не зависит вообще, хоть вообще его не будет. Этот файл используется только в функциях восстановления пароля, и не используется вообще при простом открытии сайта. Ищите проблему в другом, если ваш сайт периодически не открывается, то вам нужно обращаться к вашему хостинг провайдеру, у вас сервер нестабильно работает где сайт расположен.Как правильно сохранять пути к файлам??? просто возмьмите файл lostpassword.php из архива и скопируйте его в папку engine/modules/ Цитата Ссылка на сообщение Поделиться на других сайтах
pushkinmdv 1 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Да нет он пишет ошибку доатупа к базе mysql 41А можно просто файл lostpassword.php закинуть из патча и все? 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Да нет он пишет ошибку доатупа к базе mysql 41А можно просто файл lostpassword.php закинуть из патча и все? Не имеет данный патч никакого отношения к вашей проблеме, он никак не связан с доступом к MySQL. Вам нужно проверять работоспособность вашего MySQL сервера в данном случае. Может быть вы изменили пароль от MySQL, теперь тогда вам нужно указать новый пароль в файле engine/data/dbconfig.phpА можно просто файл lostpassword.php закинуть из патча и все? это собственно и нужно делать, просто взять и скопировать его на сервер.Вообще то патч скачивается отдельно http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html и никаких других файлов в этом патче нет, кроме lostpassword.php Цитата Ссылка на сообщение Поделиться на других сайтах
pushkinmdv 1 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Вернул всю папку engine, хорошо что сделал копию, потом из патча скопировал файл lostpassword.php и переписал его в папке engine/modules/ правильно? Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 потом из патча скопировал файл lostpassword.php и переписал его в папке engine/modules/ правильно? Правильно Цитата Ссылка на сообщение Поделиться на других сайтах
pushkinmdv 1 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 ОК всем удачи! Цитата Ссылка на сообщение Поделиться на других сайтах
RedRoll 67 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 2pushkinmdv, как вы с такими знаниями сайт-то поставили... удивительно... Цитата Ссылка на сообщение Поделиться на других сайтах
Rival 0 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 У меня на dle 7.3 после патча выдаёт в письме две ссылки 1. ...index.php?do=lostpassword&action=password&douser... 2. ...index.php?do=lostpassword&action=ip&douser... На какую не нажми, получаем ошибку "Пользователь с таким именем не запрашивал восстановление пароля, либо данная ссылка уже устарела." Почему так может быть? Цитата Ссылка на сообщение Поделиться на других сайтах
veb74 10 Опубликовано: 21 августа 2012 Рассказать Опубликовано: 21 августа 2012 Автор Суть этой уязвимости заключается в том что мощности современных копьютеров позволяют предсказать генерируемый скриптом код. Причем стойкость сайта зависит от OS на котором стоит сайт. Наиболее уязвимы сайты на windows, наименее уязвимы на linux. Но опасность существует для всех, поэтому рейтинг опасности высокий, патч нужно ставить обязательно. Спасибо. Но всё равно неприятно. Столько лет работали с дырой в движке. И как включить уведомления на емейл? Здесь уже аж две страницы нафлудили, а уведомления внутренние, для тех кто здесь живет, он и сам увидит ответы новые. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.