CMS DataLife Engine - Система управления сайтами

Sign in to follow this  
south_park

Уязвимость в дистрибутиве

Recommended Posts

Простите, жутко пригорает пукан, но КАКОГО фига  данная уязвимость https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html

Не устранена в старых дистрибутивах?

Не знаю как в других, но в 10.5 не устранена.

 

Недавно решил вычистить сайт от модулей, поставил чистый дистрибутив, и сегодня второй админ словил эту хреноту. 

Несколько часов ползал искал источник взлома, отлично, оказывается второй админ создал еще юзера, тот нагадил и сам себя удалил.

 

Неужели блин сложно залить патч безопасности в старые версии движка? 

Или укажите у ссылок на загрузку, большими буквами ФИКСИТЕ КОСЯКИ ЧИТАЯ НАЙДЕННЫЕ УЯЗВИМОСТИ.

Или если у человека нет доступа к новым версиям движка дак он уже не клиент и нафиг не сдался?

Жутко бомбит. 

 

Edited by south_park

Share this post


Link to post
Share on other sites

Данная уязвимость устранена только в версии 11.3 и выше. После установки старых версий всегда нужно заходить сюда https://dle-news.ru/bags/ и ставить все фиксы. При обнаружении уязвимости делается рассылка, плюс тема на форуме, плюс можно подписаться на rss. Ну и при проверке обновлений через админку, появляются подобные сообщения

Цитата

11 августа 2017 выпущен патч, устраняющий проблемы безопасности https://dle-news.ru/bags/1726-nedostatochnaya-filtraciya-dannyh.html

 

Share this post


Link to post
Share on other sites
29 минут назад, germanydletest сказал:

Данная уязвимость устранена только в версии 11.3 и выше. После установки старых версий всегда нужно заходить сюда https://dle-news.ru/bags/ и ставить все фиксы. При обнаружении уязвимости делается рассылка, плюс тема на форуме, плюс можно подписаться на rss. Ну и при проверке обновлений через админку, появляются подобные сообщения

 

Да, все верно, но как видите данных мер не достаточно, так как:

1) О уязвимости я знал, и давно пофиксил. (обновлял все файлы из дистрибутива, скачанного специально)

2) О том, что при нажатии на обновление есть информация не знал, но от моей ситуации это и не поможет, так как:

2.1) Я думал, что при нахождении проблемы фиксят все дистрибутивы.

2.2) Зачем мне жать на кнопку если  я знаю, что установил и знаю что лицензия у меня на версию до 11.

3) Опять же никакой информации на странице с фиксом нет, т.е там нет записи - только последний дистрибутив обновлен, все остальные нет.

 

 Сделайте тогда при установке сообщение, что вы устанавливаете старую версию - читайте данный раздел, так как старые дистрибутивы не обновляются.

 

Как видите на моем примере, клиенты попадают в неприятности и тратят несколько часов на решение этих проблем, и ладно часов, нервов на выяснение причин взлома.

А значит принятые меры не эффективны, лучшим способом будет - накатить на дистрибутивы все фиксы, их не так много и дистрибутивов тоже.

 

PS и добавлю конечно еще одну неприятность.

Я все понимаю, разработчикам необходимо кушать и продавать новые лицензии, продление лицензий.

Но на версии 11 сдохла авторизация через фейсбук, причиной тому была смена апи у последнего.

 

Требовать фикс конечно не красиво, так как разработчик тут не причем, но ИМХО, нет никакого желания обновлять версию до актуальной только ради подобных мелочей, притом даже лицензия есть, но на сайте куча правок и модулей, исправление этого фейсбука затребует уймы времени и сил.

Не хотите бесплатно делать фикс, продайте, за доллар, за пять.

Как итог, вроде есть лицензия, вроде в новых версиях дле все работает, а вроде ты в пролете, двиг не отрабатывает свой фукнционал.

 

ПС2 и да, в новых версиях новый функционал и все такое, но для себя не нашел ничего сильно интересного, чтоб обновлять сайт, перепрыгну через несколько версий

Edited by south_park

Share this post


Link to post
Share on other sites
49 минут назад, south_park сказал:

но на сайте куча правок и модулей, исправление этого фейсбука затребует уймы времени и сил.

Не хотите бесплатно делать фикс, продайте, за доллар, за пять.

Не получится, так как авторизация фейсбука не работает на версии DLE ниже 11.3, а в версии 11.2 был полностью переработан парсер кода (/engine/classes/parse.class.php), поэтому если у Вас версия DLE ниже 11.2, то у вас 2 пути, обновляться или смериться с тем что авторизация не работает. На версии 11.2 авторизация чинится за 2 минуты

Share this post


Link to post
Share on other sites
3 часа назад, south_park сказал:

Я думал, что при нахождении проблемы фиксят все дистрибутивы.

На основании чего вы так думали? Подобного не делает никто и никогда, ни один производитель ПО. При обнаружении уязвимости, исправляются только актуальные на момент обнаружения уязвимости версии, и конечно же более новые уже содержат патчи. И это делается именно так не только нами, но и всеми производителями (по крайней мере мне известными). Поэтому мне собственно непонятно, на основе чего вы так думали. Достаточно было просто спросить у нас в момент когда вы так подумали, и мы вам ответили, что патчи ставить нужно.

3 часа назад, south_park сказал:

Сделайте тогда при установке сообщение, что вы устанавливаете старую версию - читайте данный раздел, так как старые дистрибутивы не обновляются.

Дистрибутив какой бы версии бы вы не ставили, не считает себя старым дистрибутивом. Потому как когда он вышел, он был актуальным. После этого все, его код написан, он опубликован. И код его остается таким навсегда. Он дистрибутив такой то версии. Когда бы вы его не ставили, в день выхода или через пять лет, это неизменный опубликованный дистрибутив.

3 часа назад, south_park сказал:

Зачем мне жать на кнопку если  я знаю, что установил и знаю что лицензия у меня на версию до 11.

Затем, что она уведомляет не только о новых версиях, но и о патчах безопасности. И например если завтра выйдет патч безопасности к версии 10.0 вы об этом узнаете через нее,  независимо от того до какой версии у вас лицензия. Эта кнопка к лицензии и ее срокам никак не привязана и не зависит.

Share this post


Link to post
Share on other sites
9 часов назад, germanydletest сказал:

Не получится, так как авторизация фейсбука не работает на версии DLE ниже 11.3, а в версии 11.2 был полностью переработан парсер кода (/engine/classes/parse.class.php), поэтому если у Вас версия DLE ниже 11.2, то у вас 2 пути, обновляться или смериться с тем что авторизация не работает. На версии 11.2 авторизация чинится за 2 минуты

Почему то сторонний программист предлагает мне фикс фейсбука за 500 рублей, а официальный разработчик нет?

 

6 часов назад, celsoft сказал:

На основании чего вы так думали?

Бесспорно недальновидно, но честно говоря, на основании того, что фикс уязвимости состоит из 3 строчек или файла, за последний год  3 уязвимости, а до этого и вообще нет новостей с 13 года, опять же с 13 года всего 12-14 дистрибутивов, и их обновление не займет много времени. Впрочем это на ваше усмотрение, у меня пригорело (отчасти по моей невнимательности никто и не спорит), но все же раз у меня пригорело пригорит и у других, доработайте сообщение о надобности фикса старых дистрибутивов. (как минимум на сайте вы это легко сделаете.)

Добавить всплывающее сообщение при нажатии на скачать дистрибутив - это старый дистрибутив, проверь найденные уязвимости - ок скачать.?

 

 

6 часов назад, celsoft сказал:

Дистрибутив какой бы версии бы вы не ставили, не считает себя старым дистрибутивом.

Т.е старый дистрибутив при нажатии на кнопку "проверить обновления" - может понять, что он старый и вывести информацию о новых версиях и фиксах, а этот же дистрибутив при начале или конце установки нет, почему бы этот же скрипт проверки обновления не запустить? 

Может стоит реализовать тогда новый шаг установки? - принудительное нажатие на "проверить обновления?" и там уже написать, что ДИСТРИБУТИВ СТАРЫЙ, есть дыры иди латай.

 

Суть то не в том, что я дурак не нашел или не узнал о проблеме, я был в курсе, после получения письма  я исправил их, проблема в том, что я не увидел, до меня не донесли то, что старые дистрибутивы никак не обновляются вообще, а я тормоз не стал проверять. Опять же, будь в новости скачивания дистрибутива - предупреждение - данной проблемы бы не было, я бы не слил пару часов жизни, я бы не отвлекал своим нытьем вас.

Надеюсь вы поймете меня и сделаете выводы для улучшения своего продукта.

Спасибо.

Edited by south_park

Share this post


Link to post
Share on other sites
40 минут назад, south_park сказал:

Почему то сторонний программист предлагает мне фикс фейсбука за 500 рублей, а официальный разработчик нет?

Все очень просто, потому что мы не делаем персональных фиксов за 500 рублей. Вы вообще к нам обращались за стоимостью персонального фикса? Нет не обращались, поэтому рассуждать почему мы не делаем за 500 рублей, совершенно бессмысленно. Не нужно путать, что есть люди которые просто прирабатывают по вечерам условно говоря к "пиву", и им в данном случае достаточно 500 рублей, за небольшое переписывание кода, с тем что компаниям нужно держать для этого специальных людей в штате и платить им зарплату, которая уж никак не 500 рублей, и которую нужно платить всегда, а не когда вам понадобился фикс, за который вы можете заплатить не больше 500 рублей. Я например не вижу чтобы подали нам резюме с желанием получать по 300 рублей в месяц и то не всегда, а когда закажут фикс за 500.

 

Удивительный парадокс: Нет людей которые готовы работать на полную ставку за 500 рублей, нет людей которые готовые платить больше 500 рублей, но есть люди которые спрашивают, а почему вы не делаете за 500 рублей :)

 

Поэтому мы не держим в штате таких людей, потому что людей, готовых нормально и полноценно оплачивать их работу нет, а нет их, потому что всегда есть люди, которые сделают это в свободное время за очень небольшие деньги, те же условные 500 рублей.

 

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this