loading...

Авторизация ...

Имя пользователя :
Пароль :
я всё забыл!

Баг-фиксыИсправления в DLE 5.1 от 5.11.2006

файл engine/rss.php
require_once ENGINE_DIR.'/inc/templates.class.php';

ниже добавляем
include_once ROOT_DIR.'/language/'.$config['langs'].'/website.lng';


файл engine/engine.php
if ($config['speedbar']) include_once (ENGINE_DIR.'/modules/navigation.php');

заменяем на
if ($config['speedbar'] AND $view_template == "") include_once (ENGINE_DIR.'/modules/navigation.php');


файл/language/Russian/website.lng
в самом конце перед
?>

поставьте
$langdateshortweekdays = array("Вс","Пн","Вт","Ср","Чт","Пт","Сб");


файл engine/init.php
$_REQUEST['skin_name'] = end (explode (DIRECTORY_SEPARATOR, $_REQUEST['skin_name']));
    if (@is_dir(ROOT_DIR.'/templates/'.$_REQUEST['skin_name']))


заменить на
    $_REQUEST['skin_name'] = trim(end (explode (DIRECTORY_SEPARATOR, $_REQUEST['skin_name'])));
    if (@is_dir(ROOT_DIR.'/templates/'.$_REQUEST['skin_name']) AND $_REQUEST['skin_name'] != '')
  Написал nickon 5 ноября 2006, оставили 15 комментариев просмотрели 3408 раз | рейтинг новости уменьшить   +16   Увеличить

Баг-фиксыОбновление безопасности скрипта от 29.10.2006

Проблема: Недостаточная фильтрация входящих данных.

Ошибка в версии: 5.0, 4.5, 4.3

Степень опасности: Высокая

Метод исправления:

Открываем файл engine/ajax/addcomments.php и находим

require_once ENGINE_DIR.'/inc/templates.class.php';


ниже добавляем

    $_REQUEST['skin'] = end (explode (DIRECTORY_SEPARATOR, $_REQUEST['skin']));
    if (!@is_dir(ROOT_DIR.'/templates/'.$_REQUEST['skin']))
    {
            die ("Hacking attempt!");
    }
  Написал nickon 29 октября 2006, оставили 11 комментариев просмотрели 4784 раз | рейтинг новости уменьшить   +15   Увеличить

Баг-фиксыОшибка в модуле "Антивирус"

Внимание была обнаружена ошибка в модуле "Антивирус", позволяющая злоумышленнику получить список всех сторонних выполняемых скриптов на сервере, а также путь к ним.

Ошибка в версии: 5.0, 4.5

Метод исправления:

Файл engine/inc/main.php

найти:
   var varsString = "folder=" + folder;


заменить на:
    var varsString = "folder=" + folder;

    ajax.setVar("key", '{$config['key']}');



Файл engine/ajax/antivirus.php

найти:
require_once ENGINE_DIR.'/inc/functions.inc.php';


добавить ниже:
if ($_REQUEST['key'] != $config['key']) die("Hacking attempt!");
if ($config['key'] == "" ) die("The script should be activated");


Работа антивируса после данного исправления будет возможна, только после того как лицензия скрипта будет активирована. Внимание помните, что нелегальные копии будут и дальше уязвимы, т.к. не обладают уникальным ключем.
  Написал nickon 14 октября 2006, оставили 8 комментариев просмотрели 2928 раз | рейтинг новости уменьшить   +6   Увеличить

Баг-фиксыОбновление безопасности скрипта

Уважаемые пользователи,

Были переписаны потенциально не безопасные модули загрузки и управления файлами. На версиях ниже 4.5, обнаруженные уязвимости имеют высокую степень опасности, версии 4.5 и 5.0 имеют среднею степень опасности.

Обнаружена уязвимость в модуле восстановления пароля, позволяющая при определенных обстоятельствах методом грубой силы (перебора), запустить механизмы генерации нового пароля. Уязвимость обнаружена во всех версиях.

Для исправления обнаруженных уязвимостей вам необходимо по новой скачать релиз DataLife Engine 5.0 и заменить следующие файлы:

/engine/images.php
/engine/inc/files.php
/engine/modules/lostpassword.php


Если вы используете в работе версии ниже 5.0 то также вам необходимо заменить вышеуказанные файлы именно из обновленного дистрибутива версии 5.0. Они подойдут для ваших версий.
  Написал nickon 9 октября 2006, оставили 6 комментариев просмотрели 8179 раз | рейтинг новости уменьшить   0   Увеличить

Баг-фиксыПроведение XSS

Проблема: Недостаточная фильтрация переменной $_SERVER['PHP_SELF']

Ошибка в версии: 4.5, 4.3, 4.2

Степень опасности: Низкая
  Написал nickon 7 сентября 2006, оставили 12 комментариев просмотрели 4896 раз | рейтинг новости уменьшить   +14   Увеличить

Баг-фиксыУязвимость от 18.08.2006

Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.

Степень тяжести: средняя

Исправление предназначено для версий: 4.1, 4.2 и 4.3

Метод исправления:

Файл engine/modules/addcomments.php

найти
$name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail']));


заменить на
$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));

  Написал nickon 18 августа 2006, оставили 9 комментариев просмотрели 3116 раз | рейтинг новости уменьшить   0   Увеличить

Баг-фиксыБаг при добавлении пользователя через админ-панель DLE 4.3

Внимание, вход на сайт не был произведен. Возможно вы ввели неверное имя пользователя или пароль.
-------------------------------------------------------------------------

Решение - в файле engineinceditusers.php нужно заменить строку

$regpassword = md5($regpassword);


на

$regpassword = md5(md5($regpassword));



Автор: Akela
  Написал Nitro 7 августа 2006, оставили 10 комментариев просмотрели 2400 раз | рейтинг новости уменьшить   0   Увеличить

Баг-фиксыНебольшая ошибка в модуле регистрации

При регистрации нового посетителя если используется упрощенная регистрация без отправки уведомления на E-Mail то шифрование пароля происходит по старому алгоритму.

Ошибка в версии: 4.3

в файле engine/modules/register.php найти
$idlink = urlencode(base64_encode ($name."||".$email."||".$password1));


заменить на
$idlink = urlencode(base64_encode ($name."||".$email."||".md5($password1)));
  Написал nickon 27 июня 2006, оставили 11 комментариев просмотрели 2816 раз | рейтинг новости уменьшить   +10   Увеличить

Баг-фиксыБаг фикс для DLE 4.2

Проведение XSS атаки

Степень тяжести: средняя
Исправление предназначено для версий 4.1 и 4.2

Метод исправления:

Файл engine/modules/vote.php

найти
if (isset ($_REQUEST['vote_id'])) $vote_id = mysql_escape_string($_REQUEST['vote_id']); else $vote_id = "";


заменить на
if (isset ($_REQUEST['vote_id'])) $vote_id = intval($_REQUEST['vote_id']); else $vote_id = 0;


Далее найти
if ($vote_id == "")


заменить на
if (!$vote_id OR $vote_info[$vote_id]['id'] == "")

  Написал PoMaH 11 июня 2006, оставили 4 комментария просмотрели 2892 раз | рейтинг новости уменьшить   +10   Увеличить

Баг-фиксыКритически важное обновление DLE, для всех версий

sql-инъекция

найти в файле engine/init.php
if (isset($_REQUEST['user'])) $user    = urldecode (mysql_escape_string(strip_tags (preg_replace('[([/]+)$]', '', $_GET['user']))));


заменить на
if (isset($_REQUEST['user'])) $user    = mysql_escape_string(strip_tags (preg_replace('[([/]+)$]', '', urldecode($_GET['user']))));


Обновлять необходимо все версии.
  Написал nickon 15 мая 2006, оставили 18 комментариев просмотрели 3441 раз | рейтинг новости уменьшить   +11   Увеличить

[removed][removed] [removed] (adsbygoogle = window.adsbygoogle || []).push({}); [removed]