Инфо Потенциальная угроза в DLE 8.5 - 10.0

Тема в разделе "DLE", создана пользователем Горбушка, 12 авг 2013.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 10.0 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.036
    Симпатии:
    2.038
    Проблема: Недостаточная фильтрация данных в модуле сжатия файлов Minify входящем в состав DLE (https://code.google.com/p/minify/), которая может позволить при определенных настройках серверного ПО читать содержимое файлов.

    Ошибка в версии: 8.5 - 10.0

    Степень опасности: Высокая

    Для исправления откройте файл: /engine/classes/min/index.php и в самое начало файла после строчки:
    PHP:
    <?php
    добавьте:
    PHP:
    if (isset($_GET['f'])) { 
           
    $_GET['f'] = str_replace(chr(0), '', (string)$_GET['f']); 
    Подробнее: http://dle-news.ru/bags/v10/1580-potencialnaya-ugroza-v-module-minify.html

    Хочется отметить, что это угроза не в самом ДЛЕ, а в используемой сторонней библиотеки Minify. Если Вы используете Minify на своих сайтах, следует сделать обновление на новую версию (https://code.google.com/p/minify/downloads/list).
     
    lamer2, Sunday, ORZ и 3 другим нравится это.
  2. qwedc

    qwedc Постоялец

    Регистр.:
    7 июн 2006
    Сообщения:
    77
    Симпатии:
    13
    Я фигею с целсофта, деньги просит, а инфо об уязвимости на почту не в состоянии разослать.
    На сайте на десятке без модов и т.п. слили dbconfig в папку кэша, так ещё для удобство копию в архив засунули, при этом ещё и права на необходимые им поменяли везде, где хотелось.
    Т.е. это даже не уязвимость, а дырень, дающая возможность делать с файлами всё, что душе угодно с правами какими угодно.
     
  3. cocs

    cocs

    Регистр.:
    5 дек 2009
    Сообщения:
    401
    Симпатии:
    81
    Сегодня проверил антивирусом сайт а там:
    ./engine/cache/system/minify_dbconfig.php.js_e6d3eb97164a6db9d7def610a5e9736c 261 b 01.09.2013 13:00:08 неизвестен дистрибутиву

    ./engine/cache/system/minify_dbconfig.php.js_e6d3eb97164a6db9d7def610a5e9736c.gz 161 b 01.09.2013 13:00:08 неизвестен дистрибутиву

    Отрываю верхний файл, а там данные о базе данных с паролями.
    Сделал как написал Горбушка. Но осталось парочка вопросов по этой теме:
    1. Что делать с теми файлами который нашалел антивирус?
    2. Пароли менять надо?
    3. Эти файлы могли скачать сторонние люди?
     
  4. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.036
    Симпатии:
    2.038
    1. Что делать с теми файлами который нашалел антивирус?
    Ничего. Данная папка предназначена только для кэша. Т.е. представления необходимых данных движку в удобной и быстродоступной форме. Если боитесь - просто удалите эти файлы, а можно и всё содержимое папки (только файлы, папки должны остаться пустыми).
    Так же можно в админке зайти и нажать "очистить кеш" - файлы должны исчезнуть.
    2. Пароли менять надо?
    Чем чаще меняете пароли - тем лучше. Такая перестраховка никогда не бывает лишней. Но в конкретной ситуации это не требуется.
    3. Эти файлы могли скачать сторонние люди?
    В теории, могли, но маловероятно. Если у человека есть доступ к файловой системе - ему проще напрямую работать с конфигом БД, чем палиться и создавать его копии.

    P.s. к уязвимости выше данная ситуация не имеет отношения. Это просто кэш, вот только не могу понять зачем он нужен... Но это вопрос к целке уже.
     
    cocs нравится это.
  5. qwedc

    qwedc Постоялец

    Регистр.:
    7 июн 2006
    Сообщения:
    77
    Симпатии:
    13
    Короче как бы не развивался DLE, но я всё больше убеждаюсь, что это дырявая шляпа для говносайтов и не более, т.к. minify_dbconfig.php.js появляется и в последней версии со всеми заплатками, правами и поменяными паролями, скорее всего что-то залито прямо в базу, а дыра, позволяющая это использовать так и не закрыта.
    Буду очень признателен, если кто-то сталкивался с подобным и поделится какими-то соображениями или решениями по этому вопросу.
     
  6. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.036
    Симпатии:
    2.038
    Забыли маленький нюанс, папка кэша закрыта для доступа.
    http://dle.gorbushka.name/engine/cache/system/
    http://dle.gorbushka.name/engine/ca...onfig.php.js_e6d3eb97164a6db9d7def610a5e9736c

    Ваши дальнейшие действия? Скачать? Подключить? Отправить на почту? Даже если это результат какой-либо уязвимости, результат ноль, если у Вас нормально настроен сервер, а именно, работает .htaccess. Если есть доступ в файловую систему в 1000 раз проще просто сделать include('dbconfig') чем создавать второй конфиг и палиться (как я объяснял выше). Делать копию файла с паролями просто чтобы сделать - глупо и не имеет смысла. С ним ничего сделать нельзя, не имея доступа в файловую систему, а имея доступ в последнюю читай выше.

    Хотя меня насторожило только одно - во всём исходном коде ДЛЕ нет упоминаний о minify_dbconfig вообще.
    Скачайте все файлы Вашего движка и пройдитесь поиском по маске "minify_dbconfig" и попробуйте найти файл, который создаёт этот кэш, ибо у меня в ДЛЕ 10.0 этого сделать не получилось.

    Вспоминайте лучше список установленных модулей...
     
  7. qwedc

    qwedc Постоялец

    Регистр.:
    7 июн 2006
    Сообщения:
    77
    Симпатии:
    13
    В том то и дело, что все файлы чистые, заменил их теми, что были в дистрибутиве, хотя и до этого изменён был всего один файл. Никаких модов и т.п. на сайте нет и небыло, т.е. хз вообще через что они там это делают, т.к. целсофт как всегда чё-то исправил, а в чём проблема была не сказал, ну кроме того, что уязвимость в minify была, только похоже, что она там и осталась, т.к. редактирование index.php не помогло.
     
  8. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.036
    Симпатии:
    2.038
    Этот багфикс не от целки на этот раз, а от производителя сторонней библиотеки...

    Что касается файла - надо искать откуда он берётся. Но я уже ответил почему это не может быть уязвимостью...
     
  9. merzkiy

    merzkiy Постоялец

    Регистр.:
    21 май 2007
    Сообщения:
    70
    Симпатии:
    34
    Поставил dle 10 по фиксил баг, но только при запросе

    выдает содержимое dbconfig.php
    Работает только на 10 версии, на предыдущих не работает.
     
    Последнее редактирование модератором: 14 окт 2013
  10. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.036
    Симпатии:
    2.038


    Возможно, что-то не до конца пофиксили...

    Хайд в теме повышен
     
    Последнее редактирование: 14 окт 2013