Помощь Вопрос по LS

punkz · 19 Дек 2010

Мне на мыло пришло такое вот письмо:

Здравствуйте!

Уведомляем вас о закрытии в LiveStreet 0.4.2 уязвимости, с помощью которой потенциально можно было получить права администратора сайта.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 - Для просмотра ссылки Войди или Зарегистрируйся
Либо внести изменения вручную:
1. Откройте файл /classes/actions/ActionProfile.class.php
2. Найдите строчку №522: protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
3. Сразу после нее вставьте строчку (только если её у вас еще там нет) : $sUserText=$this->Text_Parser($sUserText);
В итоге должно получиться следующее:
protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
$sUserText=$this->Text_Parser($sUserText);
$oFriendNew=Engine::GetEntity('User_Friend');

Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.

С уважением, команда LiveStreet CMS

у меня стоит последняя версия, да и на офф сайте не нашёл ничего об этом, как бы это проверить?

WINTERSPROWS · 22 Дек 2010

Уязвимость действительно существует в не обновлённых версиях движка (архив на офф. сайте уже без дыры)
На выходных блог

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

был испытан на вредоносный код, который пришёл пользователям в ЛС. С livestreet ru пост был удалён т.к. содержал информацию о уязвимости поэтому не все в курсе к тому же нужно верить тому, что приходит на мыло от разработчиков CMS

iredactor · 24 Дек 2010

Тоже получал такое письмо. Сразу профиксил. В личке у разработчика спрашивал и он подтвердил.

sosiska · 24 Дек 2010

как заюзать баг ни кто не подскажет?

mukval · 28 Дек 2010

Я больше интересуюсь о том, сколько багов они еще найдут. И на сколько они будут опасными

jID · 28 Фев 2011

Чё-то туплю... была 0.4.2, и стала 0.4.2 ?
Странно у них ведётся версионность...

DirkUS · 28 Фев 2011

jID написал(а):
Чё-то туплю... была 0.4.2, и стала 0.4.2 ?
Странно у них ведётся версионность...

Не думаю что добавление одной строчки - повод сменить цыферку

jID · 1 Мар 2011

DirkUS написал(а):
Не думаю что добавление одной строчки - повод сменить цыферку

Я про что-то типа билда в версии, например 0.4.2.350 и т.п.
Например, так поступают Blizzard с тем же WoW.
4.0.6 build 13623.
4 - версия
0 - контент-патч
6 - патч
ну и 13623 - номер билда

причём, если выпускается незначительное обновление, то меняется только номер билда.

Помощь Вопрос по LS

punkz

Постоялец

WINTERSPROWS

Постоялец

iredactor

Постоялец

sosiska

Постоялец

mukval

Создатель

jID

Постоялец

DirkUS

Постоялец

jID

Постоялец