Дмитрий Кондин

Важное обновление безопасности system 3.3.10

Recommended Posts

Настоятельно рекомендую обновить систему до новой версии 3.3.10.

Данное обновление закрывает уязвимость загрузки PHP кода через старый менеджер фото.

Если у вас много свои наработок и вы не хотите полностью обновлять систему тогда сделайте это:

1. Удалите вот эти файлы

/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, bunz сказал:

При обновлении выдает ошибку  Ошибка при обновлении приложения: incompatible_archive

Значит давно не обновлялись. Вот решение

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, mmkulikov сказал:

Fatal error: Class 'local_articles_admin' not found in .....apps/system/lib/system/apps/apps_processor.php on line 97

удалите таблицу re_apps_cache

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, mmkulikov сказал:

А почему этого не сделала цмс при обновлении?

У вас ведь особый случай, вы сами дорабатывали apps.articles вот она и вызвает ошибку в кэше.

Поэтому для вас кэш пока нельзя применять, я вам предлагал удалить вашу доработку apps.articles.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
37 минут назад, rumantic сказал:

удалить вашу доработку apps.articles

Доработка или нет, но сделано штатными средствами. Да и доработка "штатная". Перекрыты в теме некоторые особенности модуля.

Или это уже не работает? Я о возможности перекрытия  в теме...

Что плохого, если штатные средства обновления будут чистить кеш? Особенно если это ни к чему плохому не приведет, а даже наоборот....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
51 минуту назад, mmkulikov сказал:

Доработка или нет, но сделано штатными средствами. Да и доработка "штатная". Перекрыты в теме некоторые особенности модуля.

Или это уже не работает? Я о возможности перекрытия  в теме...

Что плохого, если штатные средства обновления будут чистить кеш? Особенно если это ни к чему плохому не приведет, а даже наоборот....

У вас не совсем штатная доработка. Локализация admin для articles выполнена не по правилам. Вы ее просто скопировали без переименования класса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 03.03.2017 в 09:55, rumantic сказал:

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте


<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

в cache/upl уже есть следующее содержимое:

RewriteEngine Off
<IfModule mod_php5.c>
  php_value engine off
</IfModule>
<IfModule mod_php4.c>
  php_value engine off
</IfModule>

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 03.03.2017 в 08:55, rumantic сказал:

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте


<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

 

Вот этот момент почему-то у сайтов на https вызывает ошибку 403. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И вот эти файлы

/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

обязательно удалять, или они автоматически обновятся при обновлении системы до 3.3.10 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, Chernetskiy сказал:

И вот эти файлы


/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

обязательно удалять, или они автоматически обновятся при обновлении системы до 3.3.10 ?

При обновлении они будут перезаписаны безопасными вариантами (пустые файлы).

Если автоматически обновляетесь, то удалять не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
10 часов назад, metrpro сказал:

в cache/upl уже есть следующее содержимое:


RewriteEngine Off
<IfModule mod_php5.c>
  php_value engine off
</IfModule>
<IfModule mod_php4.c>
  php_value engine off
</IfModule>

 

Вот это нужно заменить на то что выше.

Потому что старый вариант уже не защищает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, Chernetskiy сказал:

Вот этот момент почему-то у сайтов на https вызывает ошибку 403. 

А как вы такую ошибку получаете? Что делаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 часов назад, rumantic сказал:

А как вы такую ошибку получаете? Что делаете?

Не обратил внимание куда именно надо было вставить код для htaccess и впихнул в корневой, что вызвало ошибку 403. Сайт на https. Работа сайта возобновляется, если вышеуказанный код убрать из корневого htaccess

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

После обновления указанный код установлен в в htaccess в нужных папках (cache/upl/ и /img/data/ ) и ошибок не вызывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
On 09.03.2017 at 0:13 PM, rumantic said:

Значит давно не обновлялись. Вот решение

 

Данный метод не срабатывает. Воспользоваться вторым способом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
33 минуты назад, bunz сказал:

Данный метод не срабатывает. Воспользоваться вторым способом?

Да

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток)

Да уж, уязвимость заставила поднапрячься, что бы почистить хостинг от этого г**на. Закачивали php, засылали запросами, сервер тоннами рассылал письма, даже абусы приходили на мой ip((

Причем, закачивали через sitebill, а натравливали на wordpress xmlrpc.php

Для решения на Nginx использовал набор таких правил

location ~* ^/cache/upl/.+\.(jpg|gif|png|jpeg)$ { 
	root	/var/www/*****;
}

location ~* ^/cache/upl/ { 
	return 403;
}

location ~* ^/img/data/.+\.(jpg|gif|png|jpeg)$ { 
	root	/var/www/*****;
}

location ~* ^/img/data/ { 
	return 403;
}


 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если вы не используете поля типа uploadify_image, а только uploads, то допустимо закрыть папку /cache/upl/ вообще безусловным Deny from all. Разрешение на картинки дано исключительно ради поддержки этого элемента, так как он оттуда показывает превьюшку на форме при загрузке. Я потом подберу ему другой способ превьюирования, совместимый с uploads, и это разрешение станет неактуальным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возникла проблема!

Не связываю её конкретно с этим обновлением, но сегодня попытался найти установленное у меня приложение Твиттер-кросспостинг и нигде в админке его не вижу. Приложение было установлено и настроено давно, всё обновлено, ключи в базе прописаны, а вот визуально Твиттер-кросспостинг отвалился. Я сейчас не уверен работает-ли он. Я наверное больше полугода не обращал на него внимание, по этому не связываю с последним обновлением, возможно отвалился и на ранних обновлениях.

Куда копать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 час назад, Chernetskiy сказал:

Возникла проблема!

Не связываю её конкретно с этим обновлением, но сегодня попытался найти установленное у меня приложение Твиттер-кросспостинг и нигде в админке его не вижу. Приложение было установлено и настроено давно, всё обновлено, ключи в базе прописаны, а вот визуально Твиттер-кросспостинг отвалился. Я сейчас не уверен работает-ли он. Я наверное больше полугода не обращал на него внимание, по этому не связываю с последним обновлением, возможно отвалился и на ранних обновлениях.

Куда копать?

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, rumantic сказал:

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

А как быть тому, кто купит модуль Твиттер-кросспостинг и попытается установить и настроить его? Куда настройки пихать (ключи)? Копаться в MySQL? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, rumantic сказал:

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

Таблицу очистил и ничего не изменилось. Настройки так и не появились. Модуль скорее всего тоже не работает, поскольку не был замечен в каких-то репостах :wacko:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Chernetskiy сказал:

Таблицу очистил и ничего не изменилось. Настройки так и не появились. Модуль скорее всего тоже не работает, поскольку не был замечен в каких-то репостах :wacko:

Попробуйте запустить в админке так

http://ваш_сайт/admin/?action=twitter

и после этого зайти в настройки.

А до обновления вы твиттер вообще настраивали как-нибудь? Или только сейчас про него вспомнили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вы вставили отформатированное содержимое.   Удалить форматирование

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.