Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от opennews (??), 20-Фев-19, 14:07 | ||
Саймон Скэннелл (Simon Scannell), в прошлом году предложивший метод атаки "PHP Phar deserialization (https://www.opennet.me/opennews/art.shtml?num=49641)", опубликовал (https://blog.ripstech.com/2019/wordpress-image-remote-code-e.../) сведения об уязвимости в системе управления контентом WordPress, позволяющей выполнить произвольный код на сервере, имея привилегии автора публикаций (Author) на сайте. В обновлениях WordPress 4.9.9 и 5.0.1 (https://www.opennet.me/opennews/art.shtml?num=49781) была добавлена частичная защита, позяовлющая блокировать атаку в основном коде WordPress, но полностью проблема остаётся не исправленной и в актуальном выпуске WordPress 5.0.3 может быть эксплуатирована через дополнительные ошибки в плагинах (отмечается, что проблема проявляется в некоторых популярных плагинах c миллионами активных установок). | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Раскрыты детали уязвимости в WordPress 5.0.0" | –5 +/– | |
Сообщение от Аноним (1), 20-Фев-19, 14:07 | ||
[q]изменить любой файл в файловой системе, насколько это позволяют права доступа, под которыми выполняется WordPress[/q] | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Раскрыты детали уязвимости в WordPress 5.0.0" | +2 +/– | |
Сообщение от Аноним (2), 20-Фев-19, 14:17 | ||
про рута никто и не говорит, речь про пользователя под которым выполняется WordPress. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
5. "Раскрыты детали уязвимости в WordPress 5.0.0" | +10 +/– | |
Сообщение от Аноним (5), 20-Фев-19, 14:26 | ||
Для того чтобы майнить, спамить и DDoS-ить root не нужен. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
9. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Vee Nee (?), 20-Фев-19, 14:59 | ||
Плюсую. А повышение привилегий взбодрит получше кофе (да да, сложнее, никому неизвестным бложикам не угрожает). | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
20. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от нах (?), 20-Фев-19, 16:40 | ||
а зачем их повышать? На более менее крупном сайте на wp нет ничего ценного вне этого wp - зачем тебе рут, систему переставить и пермишны потюнить собрался? ;-) | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
52. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от MINIX (?), 21-Фев-19, 10:35 | ||
Ну, тут схема такая ... => ROOT => Выйти из гостя => ROOT на госте и перехват аутентификационных данных... | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
15. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним Анонимович (?), 20-Фев-19, 15:45 | ||
Вы недооцениваете кретинизм людей. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
22. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (22), 20-Фев-19, 16:53 | ||
щас же модно контейнеры, зачем думать обезопасности, каких-то привелегиях, пользователях? | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
40. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от Аноним (40), 21-Фев-19, 00:00 | ||
А ведь некоторые сторонники контейнеризации всего и вся примерно так и рассуждают, что, мол, запущенный в контейнере софт изолирован от основной системы и потому с пользователями во "внутриконтейнерной" системе можно не заморачиваться. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
63. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 21-Фев-19, 12:03 | ||
а кто хоть раз заморочился - просто делает вид, что так рассуждает - потому что на самом деле ну его нахрен. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
74. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Онаним (?), 21-Фев-19, 20:50 | ||
s/некоторые/многие/ | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
39. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от пп (?), 20-Фев-19, 23:36 | ||
Дык и эксплоидов для ядра вагон, каждый месяц выходит по штуке только на этом сайте (считай официально). | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
3. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (3), 20-Фев-19, 14:19 | ||
При корректной установке прав на каталоги все перечисленное не имеет места. Заметил, что большинство описаний "ошибок" начинается, грубо говоря, с "введем в консоли sudo bash ...". | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от Аноним (2), 20-Фев-19, 14:23 | ||
> При корректной установке прав на каталоги все перечисленное не имеет места. Заметил, | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
14. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от mickvav (?), 20-Фев-19, 15:41 | ||
В чем проблема открывать директории на запись на время обновления и закрывать после? | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
16. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Винтажный газогенератор (?), 20-Фев-19, 15:52 | ||
А в /tmp тоже закроете запись? А в /var/tmp? А в /dev/shm? | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
23. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 20-Фев-19, 16:56 | ||
> В чем проблема открывать директории на запись на время обновления и закрывать после? | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
43. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от KonstantinB (ok), 21-Фев-19, 01:57 | ||
Одни права доступа - нет, не спасут. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
53. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от пох (?), 21-Фев-19, 10:43 | ||
> Обновить всегда можно вручную. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
66. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (66), 21-Фев-19, 12:13 | ||
Расслабьтесь, человек предложил грамотное решение. Для кого оно актуально, те воспользуются. Для кого важнее чтоб было дёшево, вот как для вас, будут сидеть с дырами. Всех всё устраивает. Чего вы кипятитесь-то? | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
72. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от пох (?), 21-Фев-19, 18:29 | ||
человек предложил безграмотное решение, не понимая как обычно используется вротпресс - и кем. | ||
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору |
7. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (7), 20-Фев-19, 14:51 | ||
при "стандартной, по инструкции, установке WP" | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
8. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Анончик999999 (?), 20-Фев-19, 14:52 | ||
да там и так баг на баге! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
10. "Раскрыты детали уязвимости в WordPress 5.0.0" | +3 +/– | |
Сообщение от Аноним (10), 20-Фев-19, 15:20 | ||
В WordPress есть одна большая уязвимость: WordPress | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
17. "Раскрыты детали уязвимости в WordPress 5.0.0" | –1 +/– | |
Сообщение от Аноним (17), 20-Фев-19, 16:16 | ||
В WordPress есть одна большая уязвимость: шаблонизатор "Personal Home Page", по недоразумению использующийся вместо языка программирования. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
18. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (10), 20-Фев-19, 16:34 | ||
Не будем многословными | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
19. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от нах (?), 20-Фев-19, 16:38 | ||
особенно забавно, что следом за пехепе идет asp.net ;-) | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
30. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Qwerty (??), 20-Фев-19, 20:49 | ||
А чего удивительного? Удобная и приятная в использовании штука.Не всё то плохо, что исчадие проприетарного ада. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
48. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от trolleybus (?), 21-Фев-19, 09:20 | ||
Тем более, что Core уже и не проприетарная | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
31. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Онаним (?), 20-Фев-19, 20:53 | ||
Ну в общем не странно - "классика": .NET и Java - делают сколь-либо серьёзную долю за счёт тормознющих монструозных CRM корпорастов, которые готовы взять в 10 раз больше железа, нежели добавить технологию - это дешевле. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
54. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 21-Фев-19, 10:45 | ||
ну я и ждал жабу, а asp где-нибудь на уровне шума рельсов (на рельсе я тебе за час трех студентов найму, а для жабы да чтоб еще работало - и за месяц не найдешь хоть одного вменяемого). | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
32. "Раскрыты детали уязвимости в WordPress 5.0.0" | –2 +/– | |
Сообщение от Аноним (32), 20-Фев-19, 21:18 | ||
В WordPress есть одна большая уязвимость: php (fixed, не благодарите) | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
11. "Раскрыты детали уязвимости в WordPress 5.0.0" | –2 +/– | |
Сообщение от Аноним3 (?), 20-Фев-19, 15:26 | ||
почему надо писать о нем. это даже не новость. то что в нем постоянные баги знают все. какая бы версия не была она всегда написана корявыми руками и с кучей дыр. там наверно школота балуется, а его все тащат))) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
21. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от YetAnotherOnanym (ok), 20-Фев-19, 16:47 | ||
> особый подбор значений пикселей, который после обработки в GD образует PHP-код | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
24. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 20-Фев-19, 16:58 | ||
"если ваш язычок не позволяет одним изящным движением выполнить картинку (или ее exif) как код - зачем тогда он вообще нужен такой ограниченный и неэффективный?" (c)разработчики пехепе | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
26. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноном (?), 20-Фев-19, 17:16 | ||
Картинка которую нельзя просто взять скачать и посмотреть. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
79. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Vitaliy Blats (?), 22-Фев-19, 12:56 | ||
> Ээээ.. а зачем вообще такой функционал - декодить картинку в код? Кто-нибудь может подсказать вменяемый юзкейс для такого? | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
25. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноном (?), 20-Фев-19, 17:14 | ||
А не слишком ли часто? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
27. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от Аноним (27), 20-Фев-19, 17:49 | ||
Эх, с ностальгией вспоминаю времена конца php4 - начала php5, когда верили, что с удалением register_globals и магических кавычек пхп уж точно станет безопасным, когда чтобы подключить модуль, не нужны были эти непонятные менеджеры и подгрузчики,достаточно было написать require_once… | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
28. "Раскрыты детали уязвимости в WordPress 5.0.0" | +2 +/– | |
Сообщение от th3m3 (ok), 20-Фев-19, 18:00 | ||
В большинстве случаев, бложик или информационный сайт - можно запилить на генераторе статики. Например - Hugo, Hexo, Jekyll и т.д. Будет точно такой же сайт, что и на Wordpress, только будет работать шустро(летать как ракета, после wordpress), будет подключаться меньше скриптов на страницу, а можно и без них обойтись. И никаких уязвимостей и тормозов этого монстра wordpress, никаких говноплагинов и т.д. Это как с винды на GNU/Linux пересесть. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
29. "Раскрыты детали уязвимости в WordPress 5.0.0" | –6 +/– | |
Сообщение от пох (?), 20-Фев-19, 20:25 | ||
"Будет точно такой же сайт, что и на Wordpress, только будет работать шустро(летать как ракета, после wordpress)" | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
33. "Раскрыты детали уязвимости в WordPress 5.0.0" | +5 +/– | |
Сообщение от th3m3 (ok), 20-Фев-19, 21:23 | ||
>и выглядеть будет - как г-но. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
38. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (66), 20-Фев-19, 22:55 | ||
> уговариваем клиентов уйти с этого УГ | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
42. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от th3m3 (ok), 21-Фев-19, 00:48 | ||
Hugo. | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
45. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от iCat (ok), 21-Фев-19, 05:52 | ||
А можно взглянуть на практические реализации сайтов на HUGO? | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
46. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от th3m3 (ok), 21-Фев-19, 08:41 | ||
Пожалуйста: https://gohugo.io/showcase/ | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
47. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от iCat (ok), 21-Фев-19, 08:44 | ||
Это от самих "хуговцев". А вашт работы можно посмотреть? | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
75. "Раскрыты детали уязвимости в WordPress 5.0.0" | +2 +/– | |
Сообщение от Онаним (?), 21-Фев-19, 20:54 | ||
Ну он же написал - уговаривают клиентов. Но клиенты - не идиоты, они не соглашаются. | ||
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору |
55. "Раскрыты детали уязвимости в WordPress 5.0.0" | –3 +/– | |
Сообщение от нах (?), 21-Фев-19, 10:54 | ||
> Можно перенести сайт с Wordpress, например на Hugo и сохранить внешний вид, а так же все ссылки. | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
67. "Раскрыты детали уязвимости в WordPress 5.0.0" | +2 +/– | |
Сообщение от Аноним (66), 21-Фев-19, 12:20 | ||
> не "пролетарское чутье" [...] нагрузочное тестирование не потребовалось, так выкинули. | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
34. "Раскрыты детали уязвимости в WordPress 5.0.0" | +2 +/– | |
Сообщение от Аноним (32), 20-Фев-19, 21:28 | ||
> он, конечно, может подтормаживать - но для этого надо таки написать на нем нифига не статический сайт, и при этом вовсе не состоящий из одной странички. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
56. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 21-Фев-19, 10:56 | ||
с разморозочкой вас - как там был интернетик, в вашем 1994м? В нашем-то 2019, к сожалению, ссылок-то на страницах уже и нет почти нигде. | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
62. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Попугай Кеша (?), 21-Фев-19, 11:30 | ||
А что тогда? | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
64. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 21-Фев-19, 12:08 | ||
повторяю: берешь плюсик, заворачиваешь в почту, отправляешь модератору на рассмотрение. Как рассмотрит, откроет исходник странички (ну или даже модным способом в базе поапдейтит счетчик - но потом придется еще подождать, пока сработает cron скрипт/большая красная кнопка, обновляющий статически сгенеренный сайт) - а как ты еще-то хотел? | ||
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору |
37. "Раскрыты детали уязвимости в WordPress 5.0.0" | +2 +/– | |
Сообщение от robot228 (?), 20-Фев-19, 22:40 | ||
Подписываюсь под каждым словом. Статика рулит. | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
58. "Раскрыты детали уязвимости в WordPress 5.0.0" | –1 +/– | |
Сообщение от нах (?), 21-Фев-19, 11:01 | ||
кто ему плюс нажал - забирайте обратно. Статика рулит - плюс пришлете емейлом, модератор его рассмотрит и вручную поправит на страничке. | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
73. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (73), 21-Фев-19, 19:08 | ||
>Статика рулит. | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
80. "Раскрыты детали уязвимости в WordPress 5.0.0" | –1 +/– | |
Сообщение от th3m3 (ok), 22-Фев-19, 13:25 | ||
Для комментов полно сервисов, которые легко подключаются к статичным сайтам. | ||
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору |
68. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Сергей (??), 21-Фев-19, 13:20 | ||
А если подумать, то и без бложика можно обойтись. Всё равно ни одной умной мысли там не было. | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
36. "Раскрыты детали уязвимости в WordPress 5.0.0" | +2 +/– | |
Сообщение от robot228 (?), 20-Фев-19, 22:35 | ||
Много кто писал что на западе юзают вордпресс. Любят там его даже серьёзные конторки. Но вот параллельно с этим замечена тендеция возврата к статике. Hugo, Hexo, Jekyll и т. д. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
44. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (44), 21-Фев-19, 04:00 | ||
Тенденция возврата к статике возникла вскоре после появления динамической генерации контента, когда кто-то умный догадался, что одну и ту же страницу можно засунуть в memcached, вместо того, чтобы каждый раз генерить её заново. | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
59. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 21-Фев-19, 11:05 | ||
только на то он и memcached, что страничка в нем рано или поздно поэкспайрится, и будет пересоздана заново. | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
76. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Онаним (?), 21-Фев-19, 20:56 | ||
Из шустрейших шаблонизаторов - blitz. В виде сишного модуля для пыха. | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
41. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (41), 21-Фев-19, 00:30 | ||
>очередная уязвимость в libgd | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
50. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от трурль (?), 21-Фев-19, 09:46 | ||
Кстати, граждане похапехейтеры. Подскажите, как настроить php, чтобы он стал, наконец, уязвляться этой самой phar-уязвимостью. Может, модуль какой надо установить, или что. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
51. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от domov0y (?), 21-Фев-19, 10:31 | ||
А ты рассказывай как обгонял и как подрезал. | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
57. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 21-Фев-19, 10:59 | ||
в очередной раз - ну что неправильного в пути к моему файлу phar://someshit.phar/notfound.html ? | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
60. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от domov0y (?), 21-Фев-19, 11:20 | ||
а причем тут ls -la? Может я чего не знаю? | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
61. "Раскрыты детали уязвимости в WordPress 5.0.0" | +1 +/– | |
Сообщение от domov0y (?), 21-Фев-19, 11:25 | ||
И таки да, чай был с добавками. | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
65. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от нах (?), 21-Фев-19, 12:10 | ||
> а причем тут ls -la? Может я чего не знаю? | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
69. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от domov0y (?), 21-Фев-19, 14:29 | ||
спасибо за то что напомнил что все таки существуют "альтернативно одаренные разработчики" которые переименовывают файлы на сервере давая им то имя под которым файл был загружен. | ||
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору |
77. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Онаним (?), 21-Фев-19, 20:58 | ||
Всё ещё проще: открываем транзакцию, пишем в БД метаданные, получаем insert ID, пишем <insert ID>.file, коммитим транзакцию. Обработка ошибок транзакцию оборвёт - т.е. если не запишется файл, метаданные тоже сгинут. Единственный тонкий момент - если коммит транзакции сфейлился, не забыть удалить файл. Но это можно делать и периодически в хаускипере - листаем файлы, не находим в базе, грохаем. | ||
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору |
78. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Онаним (?), 21-Фев-19, 21:00 | ||
Заодно решается проблема с возможными коллизиями - insert id уникален для каждой транзакции, и с шардингом - можно в БД заливать, куда зашардили. Доступ к файлу - по id. Если нужен по другим признакам - выбрать по индексу из БД - не проблема. | ||
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору |
70. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от трурль (?), 21-Фев-19, 15:35 | ||
> 5. скормить файл не патченой версии пыха старше чем 5.3. | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
71. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от трурль (?), 21-Фев-19, 15:38 | ||
Кстати, неплохая идея хранить пользовательские файлы на диске с хэшированными именами, тогда см. историю с вирусами про линукс, п.1. | ||
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору |
81. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Vitaliy Blats (?), 22-Фев-19, 14:04 | ||
> Кстати, неплохая идея хранить пользовательские файлы на диске с хэшированными именами | ||
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору |
82. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (82), 23-Фев-19, 09:38 | ||
Обновился до 5,1 версии. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
83. "Раскрыты детали уязвимости в WordPress 5.0.0" | +/– | |
Сообщение от Аноним (83), 27-Фев-19, 20:51 | ||
Ставь плагин TinyMCE Advanced и включай пункт в настройках "Заменить редактор блоков классическим редактором" | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |