Несколько новых уязвимостей:- В SugarCRM найдено 6 уязвимостей (http://secunia.com/advisories/37464/), охватывающих почти весь спектр проблем, которые могут возникнуть в web-приложениях. Злоумышленник может (http://www.waraxe.us/advisory-76.html) осуществить подстановку и выполнение своего SQL кода, удалить любые данные в рабочей директории на сервере, осуществить подстановку JavaScript кода (XSS), сгенерировать и загрузить бэкап не имея соответствующих прав, выполнить свой PHP код на сервере, на платформе Windows обратиться к закрытым файлам используя в запросе символы верхнего регистра. Ошибки исправлены в версии SugarCRM 5.2.0k;
- В libvorbis обнаружены (http://www.vuxml.org/freebsd/94edff42-d93d-11de-a434-0211d88...) две уязвимости, которые могут привести к выполнению кода злоумышленника при попытке обработки специально оформленных звуковых файлов в формате Vorbis (http://www.xiph.org/vorbis/). Новая версия с исправлением ошибок еще не вышла (http://downloads.x...URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=24444
>В SugarCRM найдено 6 уязвимостей, охватывающих почти весь спектр проблем, которые могут возникнуть в web-приложениях.Это полный трындец для тех организаций, которые пользовали сей продукт через открытый доступ.
Полный трындец - когда внутренние ресурсы конторы вывешивают всем. Даже если там нет дыр, ничто не мешает "всем" оказаться реальными засранцами и загнать вам 100 000 ботов. И пока ваши системы будут пыжиться обслужить эту ораву, нормальные пользователи, разумеется, будут пролетать.
доверять серьёзное crm не серьёзно )
Остаётся опять пользовать проприетарные продукты?
И, конечно, есть уверенность что там дела обстоят лучше? Ведь маркетологи столь убедительно вешают лапшу на уши, а баги чинятся втихарика. А может и не чинятся, откуда ж вы узнаете? :)
А в них все гораздо хуже вообще-то.