Перейти к публикации

[FIX] SQL injection 0day


Рекомендованные сообщения

На одном знаменитом сайте, положили вот такую инфу, товарищи разработчики, можно ли пользоваться фиксом или нет?

Автор: MSW

Сайт поддержки:

Фикс по предотвращению SQL injection 0day и возможности сделать себя админом в DLE.

В некоторых случаях в файле /engine/modules/sitelogin.php переменная $_TIME может быть не определена, что позволяет использовать SQL injection.

Лечение:

Файл: /engine/modules/sitelogin.php

Найти:

if( $is_logged ) {
Добавить ниже:
#****** FIX SQL injection *** by MSW ******#

	if(!$_TIME) $_TIME = time() + ($config['date_adjust'] * 60);[/code]

[/color]

Ссылка на сообщение
Поделиться на других сайтах

http://dle-news.ru/bags/v97/1538-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html

Ссылка на сообщение
Поделиться на других сайтах

(ppoe),

Пользоваться фиксом нельзя, он не устраняет проблему, он вообще бессмысленный, он даже не исправляет проблему для которой патч и предназначен. Ставить нужно патч http://dle-news.ru/b...97-i-nizhe.html

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...