Перейти к публикации

Недостаточная криптографическая устойчивость (предсказуемость кода).

veb74

Автор: veb74,
в DataLife Engine (Общие вопросы)

 Рассказать Подписчики 0

Рекомендованные сообщения

veb74

veb74 10

Опубликовано:
Опубликовано:

На главной

http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html

данный патч предназначен для всех версий скрипта

Хотел бы узнать - каких версий: 8.5 и 9.0 тоже обновлять ?

Что за уязвимость была?

Ссылка на сообщение
Поделиться на других сайтах
Nektov

Nektov 59

Опубликовано:
Опубликовано:

Хотел бы узнать - каких версий: 8.5 и 9.0 тоже обновлять ?

Ошибка в версии: 9.6 и все более ранние версии

Что за уязвимость была?

Проблема: Недостаточная криптографическая устойчивость (предсказуемость кода).

Или вам инструкцию по пользованию ошибкой?

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах
chelnovosti_ru

chelnovosti_ru 2

Опубликовано:
Опубликовано:

Хотя бы объясните в двух словах на что влияет? Просто у меня в последнее время очень сильно выросла нагрузка...Возможно ли это из-за этой дыры?

Ссылка на сообщение
Поделиться на других сайтах
Nektov

Nektov 59

Опубликовано:
Опубликовано:

Возможно ли это из-за этой дыры?

Давайте логично размышлять.

В каком файле нашли уязвимость? За что отвечает сей файл?

Я думаю ответ на ваш вопрос вы уже знаете. :)

Ссылка на сообщение
Поделиться на других сайтах
Captain

Captain 623

Опубликовано:
Опубликовано:

Грубо говоря (как я понял), просто усилили алгоритм шифрования данных при их передаче.

Криптографическая стойкость

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6 072

Опубликовано:
Опубликовано:

Просто у меня в последнее время очень сильно выросла нагрузка...Возможно ли это из-за этой дыры?

Нет на нагрузку это никак не влияет.

То есть на сайты, где отключена регистрация это не влияет?

Влияет, администратор у сайта есть в любом случае независимо от того включена регистрация или нет. А значит есть хотя бы один пользователь. Ставить патч нужно всем независимо от того что включено или отключено на сайте.

Суть этой уязвимости заключается в том что мощности современных копьютеров позволяют предсказать генерируемый скриптом код. Причем стойкость сайта зависит от OS на котором стоит сайт. Наиболее уязвимы сайты на windows, наименее уязвимы на linux. Но опасность существует для всех, поэтому рейтинг опасности высокий, патч нужно ставить обязательно.

Ссылка на сообщение
Поделиться на других сайтах
Captain

Captain 623

Опубликовано:
Опубликовано:

...а там где стоят старые версии просто удалил этот файл.

Железная логика, просто заменить файл не судьба видимо.

  • Поддерживаю 2
Ссылка на сообщение
Поделиться на других сайтах
ATHF

ATHF 33

Опубликовано:
Опубликовано:

Получается что изменили шифрование ключа, раньше его можно было вычислить перебором чисел (14 в 34 степени). А сейчас перебор не поможет.

celsoft, вы используете устаревшую версию скрипта.

когда уже закроете?

http://dle-news.ru/engine/ajax/updates.php

не критично, но как то неприятно.

Ссылка на сообщение
Поделиться на других сайтах
Nektov

Nektov 59

Опубликовано:
Опубликовано:

celsoft, вы используете устаревшую версию скрипта. когда уже закроете? http://dle-news.ru/e...jax/updates.php

Оно такое показывает на всех сайтах, вне зависимости от версии скрипта.

Ссылка на сообщение
Поделиться на других сайтах
ATHF

ATHF 33

Опубликовано:
Опубликовано:

Оно такое показывает на всех сайтах, вне зависимости от версии скрипта.

Переменная с версией не передается. Должны видеть Hacking attempt.

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6 072

Опубликовано:
Опубликовано:

Переменная с версией не передается. Должны видеть Hacking attempt.

Зачем они должны видеть Hacking attempt? Это какое то обязательное требование? Я не вижу необходимости данной надписи в этом файле.

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах
pushkinmdv

pushkinmdv 1

Опубликовано:
Опубликовано:

Как правильно сохранять пути к файлам??? А то после копирования сайт вообще не открывается?

"Для установки исправления, скачайте патч и скопируйте файлы из архива на свой сервер с сохранением путей к файлам."

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6 072

Опубликовано:
Опубликовано:

Как правильно сохранять пути к файлам??? А то после копирования сайт вообще не открывается?

У другом у вас причина проблема. И открытие или нет сайта от данного файла не зависит вообще, хоть вообще его не будет. Этот файл используется только в функциях восстановления пароля, и не используется вообще при простом открытии сайта. Ищите проблему в другом, если ваш сайт периодически не открывается, то вам нужно обращаться к вашему хостинг провайдеру, у вас сервер нестабильно работает где сайт расположен.

Как правильно сохранять пути к файлам???

просто возмьмите файл lostpassword.php из архива и скопируйте его в папку engine/modules/

Ссылка на сообщение
Поделиться на других сайтах
celsoft

celsoft 6 072

Опубликовано:
Опубликовано:

Да нет он пишет ошибку доатупа к базе mysql 41А можно просто файл lostpassword.php закинуть из патча и все?

Не имеет данный патч никакого отношения к вашей проблеме, он никак не связан с доступом к MySQL. Вам нужно проверять работоспособность вашего MySQL сервера в данном случае. Может быть вы изменили пароль от MySQL, теперь тогда вам нужно указать новый пароль в файле engine/data/dbconfig.php

А можно просто файл lostpassword.php закинуть из патча и все?

это собственно и нужно делать, просто взять и скопировать его на сервер.

Вообще то патч скачивается отдельно http://dle-news.ru/bags/v96/1525-nedostatochnaya-kriptograficheskaya-ustoychivost.html и никаких других файлов в этом патче нет, кроме lostpassword.php

Ссылка на сообщение
Поделиться на других сайтах
pushkinmdv

pushkinmdv 1

Опубликовано:
Опубликовано:

Вернул всю папку engine, хорошо что сделал копию, потом из патча скопировал файл lostpassword.php и переписал его в папке engine/modules/

правильно?

Ссылка на сообщение
Поделиться на других сайтах
WWW.ZEOS.IN

WWW.ZEOS.IN 1 161

Опубликовано:
Опубликовано:

потом из патча скопировал файл lostpassword.php и переписал его в папке engine/modules/ правильно?

Правильно :)

Ссылка на сообщение
Поделиться на других сайтах
Rival

Rival 0

Опубликовано:
Опубликовано:

У меня на dle 7.3 после патча выдаёт в письме две ссылки

1. ...index.php?do=lostpassword&action=password&douser...

2. ...index.php?do=lostpassword&action=ip&douser...

На какую не нажми, получаем ошибку "Пользователь с таким именем не запрашивал восстановление пароля, либо данная ссылка уже устарела."

Почему так может быть?

Ссылка на сообщение
Поделиться на других сайтах
veb74

veb74 10

Опубликовано:
Опубликовано: Автор

Суть этой уязвимости заключается в том что мощности современных копьютеров позволяют предсказать генерируемый скриптом код. Причем стойкость сайта зависит от OS на котором стоит сайт. Наиболее уязвимы сайты на windows, наименее уязвимы на linux. Но опасность существует для всех, поэтому рейтинг опасности высокий, патч нужно ставить обязательно.

Спасибо.

Но всё равно неприятно. Столько лет работали с дырой в движке.

И как включить уведомления на емейл?

Здесь уже аж две страницы нафлудили, а уведомления внутренние, для тех кто здесь живет, он и сам увидит ответы новые.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
 Рассказать
Подписчики 0
Перейти к списку тем
×
×
  • Создать...