Уязвимость в Shop-Script PRO и PREMIUM

Тема в разделе "Shop-script", создана пользователем Feel, 4 авг 2008.

Статус темы:
Закрыта.
Модераторы: kadurinho
  1. Feel

    Feel Постоялец

    Регистр.:
    5 дек 2006
    Сообщения:
    112
    Симпатии:
    43
    из блога разработчика:

    В продуктах Shop-Script PRO и Shop-Script PREMIUM была обнаружена уязвимость — возможность выполнения SQL-инъекций в связи с недостаточной проверкой входных данных.

    Всем пользователям Shop-Script PRO и Shop-Script PREMIUM настоятельно рекомендуется загрузить и применить этот патч.

    Патч представляет собой архив с доработанными файлами. Эти файлы нужно скопировать поверх существующих в корневую папку скриптов Shop-Script PRO и PREMIUM (патч подходит для обеих версий).
    При этом обновлять скрипты до последней версии нет необходимости — достаточно только обновить файлы из патча. Это полностью устранит проблему.


    Ну и собственно говоря сам патч
    http://rapidshare.com/files/134719174/pro-premium-sql-inj-invoices-aug08.zip.html
     
    AlexAntre, sounde, Dmytro_ua и 4 другим нравится это.
  2. NhGXkv85PR

    NhGXkv85PR

    Регистр.:
    20 дек 2007
    Сообщения:
    166
    Симпатии:
    25
    нет ли опасности что устраняя какие то уязвимости не получим другие? например стучалки на сайт производителя в случае нуленого скрипта? Кто нибудь поставил уже себе эти заплатки?
     
  3. FLINT

    FLINT А пофлудить?о_О

    Регистр.:
    23 июл 2007
    Сообщения:
    430
    Симпатии:
    176
    посмотри код.
    стучалки выявляются очень быстро.
    основная стучалка во всех скриптах - отправка мыла.
    в данных патчах стучалок не обнаружил

    Добавлено через 52 секунды
    закрой под хайд в 50-70 постов:)
    чтобы барыги не продавали
     
    NhGXkv85PR нравится это.
  4. art0

    art0 Создатель

    Регистр.:
    28 июн 2007
    Сообщения:
    33
    Симпатии:
    27
    а что не 8000, такие хайды как раз на руку барыгам
     
  5. FLINT

    FLINT А пофлудить?о_О

    Регистр.:
    23 июл 2007
    Сообщения:
    430
    Симпатии:
    176
    на руку барыгам маленькие хайды - у меня есть подборка сайтов владельцы которых на данном форуме берут модули и продают у себя.
    в основном это модули с хайдом менее 50
     
  6. maranezy

    maranezy Создатель

    Регистр.:
    17 мар 2008
    Сообщения:
    29
    Симпатии:
    0
    это для какой версии?
    кто патчился,какие были проблемы или всё ОК?

    ЗЫ_ кому очень надо - патч доступен по прямой ссылке...надо только зарегаться на articus.ru.
     
  7. mdss

    mdss ♖♘♗♕♔♗♘♖

    Moderator
    Регистр.:
    20 фев 2007
    Сообщения:
    1.140
    Симпатии:
    671
    гг, нашел свой модуль у барыги )))
    Всего 10 долларов оценил сцук
     
    IRIDON нравится это.
  8. Caurus

    Caurus

    Регистр.:
    21 фев 2008
    Сообщения:
    348
    Симпатии:
    285
    вот что добавлено в invoice_jur.php и invoice_phys.php проверка дополнительная:

    PHP:
    $_GET["order_time"] = base64_decode($_GET["order_time"]);//2008-07-16 12:45:01
    $res null;
    if(
    preg_match('/^[0-9]{4}-[0-9]{2}-[0-9]{2} [0-9]{2}:[0-9]{2}:[0-9]{2}$/',$_GET["order_time"],$res)){
    $_GET["order_time"] = $res[0];
    }else{
    $_GET["order_time"] = 'none';
    }
    $_GET["customer_email"] =base64_decode($_GET["customer_email"]);
    $res null;
    if(
    preg_match('/^[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}$/',$_GET["cust
    omer_email"
    ],$res)){
    $_GET["customer_email"] = $res[0];
    }else{
    $_GET["customer_email"] ='none';

    }
    Если я правильно понял!
     
  9. FLINT

    FLINT А пофлудить?о_О

    Регистр.:
    23 июл 2007
    Сообщения:
    430
    Симпатии:
    176
    вот и объясни это art0 который против высокого хайда:D
    кстати насчет цены - у него все модули и дополнения стоят от пары центов до 15 долларов вроде
     
  10. art0

    art0 Создатель

    Регистр.:
    28 июн 2007
    Сообщения:
    33
    Симпатии:
    27
    Человеку проще потратить 10 долларов чем открыть хайд.
    Между собой обменялись 5-6 человек, а 40 пошли к барыге.

    ставьте по больше, а то у всех будет, барыга без эксклюзива останется
     
Статус темы:
Закрыта.