Головна Сторінка   Реєстрація На Сайті   Правила Сайту   Зворотній Зв'язок   RSS 2.0
 
 
CMS DataLife Engine - Актуальний Реліз - 12.0  
   
 
Ви не авторизовані!
логін :  
пароль :  
   
»
Недостатня фільтрація даних
Проблема: Недостатня фільтрація даних в Jquery плагіні Masha JS, що входить до складу DLE.

Помилка у версії: 11.3 і нижче

Ступінь небезпеки: Високий

Для виправлення скачайте і скопіюйте на свій сервер патч: https://dle-news.ru/files/dle113_path.zip

Після цього очистіть кеш браузера і кеш скрипта в адмінпанелі. Даний патч призначений для версії 11.3 і всіх версій нижче 11.3.

Дистрибутив версії 11.3 на нашому сервері оновлений.
 
»  переглянути повністю ....


Недостатня фільтрація даних
Проблема: Недостатня фільтрація даних

Помилка у версії: 11.2 і нижче

Ступінь небезпеки: Високий

Для виправлення відкрийте файл: /engine/go.php і знайдіть:
$url = @str_replace ( "&", "&", $url );

нижче додайте
$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );


...
 
»  переглянути повністю ....


Потенційна загроза в модулі Minify
Проблема: Недостатня фільтрація даних в модулі стискування файлів Minify що входить до складу DLE (https://code.google.com/p/minify/), яка може дозволити, при певних налаштуваннях серверного ПЗ, читати вміст файлів.

Помилка у версії: 8.5 - 10.0

Ступінь небезпеки: Високий

Для виправлення відкрийте файл: /engine/classes/min/index.php і в самий початок файлу після рядка:

<?php

додайте:

if (isset($_GET['f'])) {
       $_GET['f'] = str_replace(chr(0), '', (string)$_GET['f']);
}

Дистрибутив версії 10.0 на нашому сервері оновлений.
 
»  переглянути повністю ....


Патчі безпеки для версії 9.7
Оновлений патч безпеки усуває всі виявлені раніше для версії 9.7 проблем безпеки. На відміну від випущених раніше патчів для версії 9.7, в даному патчі використовується більш покращений алгоритм у фільтрації шаблонів, що дозволяє усунути деякі несумісності із сторонніми модулями і ряд деяких інших проблем, пов'язаних виключно з версією 9.7.

Також був змінений алгоритм завантаження аватарів, який більше не дозволяє використання анімованих картинок .gif. Всі завантажувані анімовані картинки будуть виводиться у вигляді статичних картинок. Дана міра є вимушеною і необхідною, у зв'язку з рядом обмежень формату gif, який не дозволяє в достатній мірі відфільтрувати шкідливий код в картинках, єдиним ефективним способом є лише зняття підтримки анімації в даних картинках.
 
»  переглянути повністю ....


Недостатня фільтрація даних в парсері шаблонів
Проблема: Недостатня фільтрація даних в парсері шаблонів.

Помилка у версії: 9.6 і всі більш ранні версії

Ступінь небезпеки: Високий

Для виправлення проблеми скачайте, розархівуйте і скопіюйте на свій сервер патч, призначений для всіх версій скрипта.
 
»  переглянути повністю ....


Патчі безпеки для версій 9.7 і нижче
Проблема: Проведення SQL ін'єкцій, в разі ігнорування адміністратором сайту повідомлення в адмінпанелі скрипта, про недопустимість включення на сервері небезпечного налаштування register_globals, а також можливість обходу коду безпеки CAPTCHA при реєстрації.

Помилка у версії: 9.7 і всі більш ранні версії

Ступінь небезпеки: Високий при використанні включеного налаштування register_globals, відсутній при виконанні рекомендацій по відключенню даного налаштування в налаштуваннях сервера. Встановлення патчу, проте, обов'язкове для всіх, оскільки патч усуває можливий обхід коду безпеки CAPTCHA і інші проблеми.
 
»  переглянути повністю ....


Недостатня криптографічна стійкість
Проблема: Недостатня криптографічна стійкість.

Помилка у версії: 9.6 та більш ранні версії

Ступінь небезпеки: Високий

Дистрибутив версії 9.6 оновлений.
 
»  переглянути повністю ....


Патч WYSIWYG-редактора для DataLife Engine v.9.3
Шановні клієнти!

Нова версія DataLife Engine v.9.3 була опублікована з WYSIWYG-редактором найновішої версії TINYMCE 3.4.2. На жаль, дану версію редактора не можна назвати стабільною, і в ньому були виявлені наступні проблеми:

1. Неможливість використання гарячих клавіш CTRL-V для вставки тексту в браузері Опера 11.xx
2. Некоректна масова вставка завантажених зображень на сервер.

У зв'язку з цим, нами була підготовлена нова ревізія цього редактора, що усуває дані проблеми. Всім, хто використовує WYSIWYG-редактор на своїх сайтах, ми пропонуємо скачати патч, опублікований далі ...
 
»  переглянути повністю ....


Недостатня фільтрація вхідних даних
Проблема: Недостатня фільтрація вхідних даних

Помилка у версії: Всі версії

Ступінь небезпеки: Високий

Дистрибутив версії 9.0 оновлений.
 
»  переглянути повністю ....


Недостатня фільтрація вхідних даних
Проблема: Користувач, якому дозволене завантаження файлів на сервер (не картинок), може вийти за межі дозволеної папки завантаження, а якщо він має адміністраторський аккаунт на сайті, то і пошкодити дані скрипта.

Помилка у версії: Всі версії

Ступінь небезпеки: Середній (Високий при наявності адміністраторського аккаунту на сайті)

Дистрибутив версії 8.5 на нашому сайті оновлено.
 
»  переглянути повністю ....


 
 
  Швидкий доступ до розділів сайту