rumantic

Важное обновление безопасности system 3.3.10

Recommended Posts

Настоятельно рекомендую обновить систему до новой версии 3.3.10.

Данное обновление закрывает уязвимость загрузки PHP кода через старый менеджер фото.

Если у вас много свои наработок и вы не хотите полностью обновлять систему тогда сделайте это:

1. Удалите вот эти файлы

/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

 

Share this post


Link to post
Share on other sites
1 час назад, bunz сказал:

При обновлении выдает ошибку  Ошибка при обновлении приложения: incompatible_archive

Значит давно не обновлялись. Вот решение

 

Share this post


Link to post
Share on other sites
22 минуты назад, mmkulikov сказал:

Fatal error: Class 'local_articles_admin' not found in .....apps/system/lib/system/apps/apps_processor.php on line 97

удалите таблицу re_apps_cache

Share this post


Link to post
Share on other sites
Только что, mmkulikov сказал:

А почему этого не сделала цмс при обновлении?

У вас ведь особый случай, вы сами дорабатывали apps.articles вот она и вызвает ошибку в кэше.

Поэтому для вас кэш пока нельзя применять, я вам предлагал удалить вашу доработку apps.articles.

Share this post


Link to post
Share on other sites
37 минут назад, rumantic сказал:

удалить вашу доработку apps.articles

Доработка или нет, но сделано штатными средствами. Да и доработка "штатная". Перекрыты в теме некоторые особенности модуля.

Или это уже не работает? Я о возможности перекрытия  в теме...

Что плохого, если штатные средства обновления будут чистить кеш? Особенно если это ни к чему плохому не приведет, а даже наоборот....

Share this post


Link to post
Share on other sites
51 минуту назад, mmkulikov сказал:

Доработка или нет, но сделано штатными средствами. Да и доработка "штатная". Перекрыты в теме некоторые особенности модуля.

Или это уже не работает? Я о возможности перекрытия  в теме...

Что плохого, если штатные средства обновления будут чистить кеш? Особенно если это ни к чему плохому не приведет, а даже наоборот....

У вас не совсем штатная доработка. Локализация admin для articles выполнена не по правилам. Вы ее просто скопировали без переименования класса.

Share this post


Link to post
Share on other sites
В 03.03.2017 в 09:55, rumantic сказал:

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте


<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

в cache/upl уже есть следующее содержимое:

RewriteEngine Off
<IfModule mod_php5.c>
  php_value engine off
</IfModule>
<IfModule mod_php4.c>
  php_value engine off
</IfModule>

 

Share this post


Link to post
Share on other sites
В 03.03.2017 в 08:55, rumantic сказал:

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте


<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

 

Вот этот момент почему-то у сайтов на https вызывает ошибку 403. 

Share this post


Link to post
Share on other sites

И вот эти файлы

/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

обязательно удалять, или они автоматически обновятся при обновлении системы до 3.3.10 ?

Share this post


Link to post
Share on other sites
5 часов назад, Chernetskiy сказал:

И вот эти файлы


/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

обязательно удалять, или они автоматически обновятся при обновлении системы до 3.3.10 ?

При обновлении они будут перезаписаны безопасными вариантами (пустые файлы).

Если автоматически обновляетесь, то удалять не нужно.

Share this post


Link to post
Share on other sites
10 часов назад, metrpro сказал:

в cache/upl уже есть следующее содержимое:


RewriteEngine Off
<IfModule mod_php5.c>
  php_value engine off
</IfModule>
<IfModule mod_php4.c>
  php_value engine off
</IfModule>

 

Вот это нужно заменить на то что выше.

Потому что старый вариант уже не защищает.

Share this post


Link to post
Share on other sites
5 часов назад, Chernetskiy сказал:

Вот этот момент почему-то у сайтов на https вызывает ошибку 403. 

А как вы такую ошибку получаете? Что делаете?

Share this post


Link to post
Share on other sites
7 часов назад, rumantic сказал:

А как вы такую ошибку получаете? Что делаете?

Не обратил внимание куда именно надо было вставить код для htaccess и впихнул в корневой, что вызвало ошибку 403. Сайт на https. Работа сайта возобновляется, если вышеуказанный код убрать из корневого htaccess

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

После обновления указанный код установлен в в htaccess в нужных папках (cache/upl/ и /img/data/ ) и ошибок не вызывает.

Share this post


Link to post
Share on other sites
On 09.03.2017 at 0:13 PM, rumantic said:

Значит давно не обновлялись. Вот решение

 

Данный метод не срабатывает. Воспользоваться вторым способом?

Share this post


Link to post
Share on other sites

Доброго времени суток)

Да уж, уязвимость заставила поднапрячься, что бы почистить хостинг от этого г**на. Закачивали php, засылали запросами, сервер тоннами рассылал письма, даже абусы приходили на мой ip((

Причем, закачивали через sitebill, а натравливали на wordpress xmlrpc.php

Для решения на Nginx использовал набор таких правил

location ~* ^/cache/upl/.+\.(jpg|gif|png|jpeg)$ { 
	root	/var/www/*****;
}

location ~* ^/cache/upl/ { 
	return 403;
}

location ~* ^/img/data/.+\.(jpg|gif|png|jpeg)$ { 
	root	/var/www/*****;
}

location ~* ^/img/data/ { 
	return 403;
}


 

Share this post


Link to post
Share on other sites

Если вы не используете поля типа uploadify_image, а только uploads, то допустимо закрыть папку /cache/upl/ вообще безусловным Deny from all. Разрешение на картинки дано исключительно ради поддержки этого элемента, так как он оттуда показывает превьюшку на форме при загрузке. Я потом подберу ему другой способ превьюирования, совместимый с uploads, и это разрешение станет неактуальным.

Share this post


Link to post
Share on other sites

Возникла проблема!

Не связываю её конкретно с этим обновлением, но сегодня попытался найти установленное у меня приложение Твиттер-кросспостинг и нигде в админке его не вижу. Приложение было установлено и настроено давно, всё обновлено, ключи в базе прописаны, а вот визуально Твиттер-кросспостинг отвалился. Я сейчас не уверен работает-ли он. Я наверное больше полугода не обращал на него внимание, по этому не связываю с последним обновлением, возможно отвалился и на ранних обновлениях.

Куда копать?

Share this post


Link to post
Share on other sites
11 час назад, Chernetskiy сказал:

Возникла проблема!

Не связываю её конкретно с этим обновлением, но сегодня попытался найти установленное у меня приложение Твиттер-кросспостинг и нигде в админке его не вижу. Приложение было установлено и настроено давно, всё обновлено, ключи в базе прописаны, а вот визуально Твиттер-кросспостинг отвалился. Я сейчас не уверен работает-ли он. Я наверное больше полугода не обращал на него внимание, по этому не связываю с последним обновлением, возможно отвалился и на ранних обновлениях.

Куда копать?

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

Share this post


Link to post
Share on other sites
6 часов назад, rumantic сказал:

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

А как быть тому, кто купит модуль Твиттер-кросспостинг и попытается установить и настроить его? Куда настройки пихать (ключи)? Копаться в MySQL? :)

Share this post


Link to post
Share on other sites
8 часов назад, rumantic сказал:

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

Таблицу очистил и ничего не изменилось. Настройки так и не появились. Модуль скорее всего тоже не работает, поскольку не был замечен в каких-то репостах :wacko:

Share this post


Link to post
Share on other sites
1 час назад, Chernetskiy сказал:

Таблицу очистил и ничего не изменилось. Настройки так и не появились. Модуль скорее всего тоже не работает, поскольку не был замечен в каких-то репостах :wacko:

Попробуйте запустить в админке так

http://ваш_сайт/admin/?action=twitter

и после этого зайти в настройки.

А до обновления вы твиттер вообще настраивали как-нибудь? Или только сейчас про него вспомнили?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.