Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в WordPress-плагине wpDiscuz, насчитывающем 80 тысяч установок"	+/–
Сообщение от opennews (??), 02-Авг-20, 10:59
В WordPress-плагине wpDiscuz, который установлен на более чем 80 тысячах сайтов, выявлена опасная уязвимость, позволяющая без аутентификации загрузить любой файл на сервер. В том числе можно загрузить PHP-файлы и добиться выполнения своего кода на сервере. Проблеме подвержены версии с 7.0.0 по 7.0.4 включительно. Уязвимость устранена в выпуске 7.0.5... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53477
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 02-Авг-20, 10:59	+15 +/–
Насколько я помню из своего опыта работы с вордпресс, в нем каждый второй плагин такой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

2. Сообщение от Spoofing (?), 02-Авг-20, 11:02	+11 +/–
одни и те же уязвимости, когда ещё в нулевых загружали на форумы аватарки с php-кодом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

3. Сообщение от Alex_K (??), 02-Авг-20, 11:08	+2 +/–
"при выполнении PHP-файлов интерпретатор игнорирует все части вне блоков "<?php"" Гупость написали :) Вне этих блоков содержимое выводится в STDOUT. Да еще и короткая форма <? прижилась.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

4. Сообщение от Аноним (4), 02-Авг-20, 11:30	+9 +/–
Никогда такого не было и вот опять.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от suffix (ok), 02-Авг-20, 12:21	–28 +/–
В старом анекдоте была такая фраза "евреи не жалейте заварки". Стоит на сайт выделить чуть больший бюджет и сайт можно будет сделать не на WP а на Битрикс - в котором уже есть модуль "Проактивная защита" который физически не допустит подобных ситуаций. Кроме того Битрикс вообще как правило не нуждается в сторонних плагинах - всё нужное есть из коробки. Итог: жадность порождает бедность!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9, #10, #17, #41

6. Сообщение от YetAnotherOnanym (ok), 02-Авг-20, 12:23	+2 +/–
> Вне этих блоков содержимое выводится в STDOUT Как будто это помешает выполнить код внутри блока.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #26

7. Сообщение от Аноним (9), 02-Авг-20, 12:27	+4 +/–
Хмм. Имел опыт в оптимизации плагина (разрабатывал его не я) для последующей публикации на wordpress.org, так их ревьюеры такую простыню по безопасности выкатили: и ввод чисть, и права на доступ к этому функционалу проверяй, и еще много чего другого. И все это через стандартный функционал вп. Проверяют же плагины, а все равно вп - решeто в плане безопасности.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от YetAnotherOnanym (ok), 02-Авг-20, 12:28	+18 +/–
> на Битрикс Тонко. Зачот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #40

9. Сообщение от Аноним (9), 02-Авг-20, 12:36	+/–
Этот ваш битрикс никому кроме пары стран не нужОн. И даже если заказчик с одной из них, то ему понадобится не "чуть больший бюджет", а намного больший (пишу как человек, работающий с этим всем). "как правило не нуждается в сторонних плагинах" - это также относится в категории "чуть больший бюджет". Там, где в вп можно поставить плагин и не заморачиваться, в бх зачастую придется искать прогера, который впилит этот функционал, или опять же покупать модуль (далеко не факт, что таковой найдется). Никоим образом не защищаю вп, но предлагать бх как альтернативу, такое себе. Аксиома Эскобара в общем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #23

10. Сообщение от Аноним (10), 02-Авг-20, 12:39	–6 +/–
Полностью поддерживаю. Битрикс - это лучшее что доступно для разработки сайтов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12, #62

11. Сообщение от suffix (ok), 02-Авг-20, 12:40	–4 +/–
>Там, где в вп можно поставить плагин Ну а потом что удивляться тому что взломали ? Я же писал выше - жадность порождает бедность :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14

12. Сообщение от Michael Shigorin (ok), 02-Авг-20, 13:02	–3 +/–
Ну если у вас пошли такие "предложения", то упомяну TYPO3 -- оно не только поспорит с битриксом, а и свободное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18, #24

13. Сообщение от Аноним (13), 02-Авг-20, 13:39	+/–
Зачем вообще пользовательские файлы смешивать с кодом сайта (код сайта пропускается через интерпретатор, а пользовательские данные вообще обрабатываться не должны, а должны просто отдаваться с минимальным оверхедом)?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

14. Сообщение от Аноним (14), 02-Авг-20, 14:14	+1 +/–
Вы пропустили последнее слово "вокруг".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Анон1212 (?), 02-Авг-20, 14:43	+/–
Никогда не было и вот опять
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от пох. (?), 02-Авг-20, 15:14	+2 +/–
> Кроме того Битрикс вообще как правило не нуждается в сторонних плагинах - всё нужное есть из > коробки. ага, вот например тут речь шла о плагине для более-менее полноценного форума, где видно кто кому отвечал и о чем. А что есть форум "из коробки" в битриксе, кроме дерьма на палочке? ОТОЖ. Причем форум не комментарий, и комментарий не форум - комментарии битрикса отдельны для каждого модуля (для некоторых их нет вообще) и каждый имеет свой нескучный интерфейс и убогую кастрированную функциональность, еще слабее чем их дерьмофорум. При этом скока-скока захочет не безнадежно косорукий битриксопейсатель про заек, чтобы это все хоть как-то похоже было на работающее?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #19

18. Сообщение от cypa (ok), 02-Авг-20, 15:18	+/–
Михаил, вот от вас я не ожидал такого пиара CMS на PHP+MySQL, ведь это принципиально неправильная архитектура для CMS, пихать в СУБД всё подряд, а потом мучительно оптимизировать и кэшировать - это просто извращения и перверсия, по 10 раз сериализировать данные просто чтобы тупо отдать их через http - неужели вы такое поддерживаете, Михаил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #49

19. Сообщение от suffix (ok), 02-Авг-20, 15:20	+1 +/–
1. Форум есть в Битриксе (функционал конечно так себе - Вы правы). 2. Если хочется нормальный форум то платить придётся как в WP так и в Битриксе. 3. Общий смысл моего поста Вы прекрасно поняли - если не пожалеть средств то из Битрикса можно сделать конфетку, а из WP никогда ибо суть его в сторонних плагинах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от пох. (?), 02-Авг-20, 15:28	+2 +/–
> Общий смысл моего поста Вы прекрасно поняли - если не пожалеть средств то из Битрикса можно > сделать конфетку ну дык дать деньгов wp-разработчику - тоже самое и будет. И может даже дешевле (хотя и неочевидно). Может даже какой waf хоть на базе mod_security тебе поставит (чему доверия все же поболее битриксового встроенного и на пехепе). А собирая из готовых модулей без ансамбля и не понимая как они работают - ну, получаешь что получаешь, затобесплатное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #22

21. Сообщение от пох. (?), 02-Авг-20, 15:30	+4 +/–
> Зачем вообще пользовательские файлы смешивать с кодом сайта для дерьмохостингов, у которых вообще все файлы - "код сайта". Отдельными настройками "тут играем, тут рыбу заворачивали" - никто париться не будет, все равно типовому юзеру не поможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #27

22. Сообщение от suffix (ok), 02-Авг-20, 15:45	+/–
Ну вот мы с Вами и сошлись во мнениях ! Просто из "коробки" Битрикс: А) Для "обычной" работы сайта не требует плагинов Б) С включённым по умолчанию модулем "Проактивная защита" уже безопаснее чем WP. Разумеется спец может и там и там настроить грамотно. К примеру у меня Битрикс но Проактивная защита отключена и стоит mod_security, но повторюсь для "обычных" владельцев "обычных" сайтов Битрикс намного надёжнее чем WP что и подтверждает эта новость которую мы обсуждаем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от пох. (?), 02-Авг-20, 15:45	+/–
> даже если заказчик с одной из них, то ему понадобится не "чуть больший бюджет", > а намного больший не будь лохом, найми исполнителя с другой из них - там по 500 ре работают и благодарят еще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

24. Сообщение от Аноним (24), 02-Авг-20, 15:57	–1 +/–
Как typo3 с кассами и эквайрингом? У битрикса в комплекте идет. Интеграции с crm и учетными системами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30, #52

26. Сообщение от НяшМяш (ok), 02-Авг-20, 16:33	–3 +/–
С такой особенности пыхи даже я только что офигел. Когда впервые мне показали пыху ещё в школе, я спросил "что это за кусок?". Чуйка моей пятой точки ещё ни разу не подводила меня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

27. Сообщение от Аноним (13), 02-Авг-20, 16:34	+/–
.htaccess, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #29

28. Сообщение от Аноним (28), 02-Авг-20, 17:12	+1 +/–
Обучаемость - это не про пыхеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #48

29. Сообщение от пох. (?), 02-Авг-20, 17:30	+2 +/–
полож на место имя моей аватарки!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

30. Сообщение от Аноним (10), 02-Авг-20, 17:34	+/–
>Интеграции с crm и учетными системами? Самое главное - с 1С. Если этого нет, то рассматривать нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

32. Сообщение от Аноним (32), 02-Авг-20, 20:06	+/–
как в wordpress запретить показывать какие плагины используются?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #34

33. Сообщение от BlackRot (ok), 02-Авг-20, 20:48	+1 +/–
Никак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #56

34. Сообщение от FlatFile CMS (?), 02-Авг-20, 20:54	+3 +/–
Не использовать wordpress?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #44

38. Сообщение от Аноним (38), 03-Авг-20, 03:29	+1 +/–
wp - самый активный запрос на серваках для пробития дыр
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

40. Сообщение от Аноним (40), 03-Авг-20, 06:37	+/–
Торгует им или кодит на нем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #47

41. Сообщение от istepan (ok), 03-Авг-20, 07:44	+/–
🤮 Все кого знаю из пользователей Битрикса так же хотели "заплатить и забыть". В итоге через время все (именно все) жалели о потраченных деньгах. Половина наняла толкового разработчика или команду, и переписали свои сервисы на нормальных фреймворках. Остальные довольствовалась тем что получили, изредка доплачивая 100500 деревянных за мелкие доработки, тогда как при нормальной разработке на нормальных продуктах эти же правки стоили бы копейки и буквально минуты времени программистов и прочих верстальщиков (есть десятки примеров из личного опыта). Ах, да. Ещё разработка сайта на битриксе в студиях обойдется не дешевле, а то и дороже, и качество будет очень сомнительное. Так как в студиях часто нет компетентных разработчиков, ибо в Битриксом нормальные программисты не хотят связываться, а если связываются, то только за доплату 100500 тех же деревянных денег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #43

42. Сообщение от istepan (ok), 03-Авг-20, 07:59	+1 +/–
Хахаха, классика котссигаретой.джпг
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

43. Сообщение от suffix (ok), 03-Авг-20, 08:05	+/–
Либо: 1. Все ваши знакомые владеют проектами с посещаемостью сотни тысяч в день. 2. Но скорее всего не умеют искать нормальных исполнителей / составлять нормальное ТЗ / жадные до расходов на программистов. Да, Битрикс надо уметь готовить. Но я же писал не об этом - Битрикс вот прямо из коробки без сторонних плагинов намного функциональное чем WP (тоже без сторонних плагинов) и соответственно и намного безопаснее - что данная новость и подтверждает!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

44. Сообщение от BlackRot (ok), 03-Авг-20, 08:08	+/–
Или зашифровать вообще всё
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

45. Сообщение от BlackRot (ok), 03-Авг-20, 08:10	+/–
Это да. Сам движок если и появляется какая то уязвииость фиксится в считанные минуты, а вот плагины это отдельная история
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

46. Сообщение от Аноним (46), 03-Авг-20, 08:11	+2 +/–
Жопаболь блоггеров?
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от suffix (ok), 03-Авг-20, 08:33	+2 +/–
Лавры Шерлока Холмса Вам не по плечу :) 1. Не торгую (моя работа вообще с IT  или Web-ом не связана. 2. Не программист ни разу, сайты не делаю. Но у меня сайт на Битрикс (хобби для души - без какой-либо монетизации, рекламы, услуг и т.п.) про хрюш которых я люблю искренне и бескорыстно :) Но я немного разбираюсь в "технологиях" и стараюсь быть в теме чтобы грамотно ТЗ уметь составлять. Вроде бы получается - во всяком случае мой сайт ("тяжёлой" версии Эксперт плюс добавленный сложный функционал под капотом который снаружи не виден, но помогает мне в работе с сайтом) "быстрее" чем большинство сайтов на WP. Можете сами проверить: https://www.babai.ru
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #51, #59

48. Сообщение от Вадик (??), 03-Авг-20, 09:17	+7 +/–
Дело не в обучаемости. Многие просто не понимают а что такого. Ну возникнет проблема, будем фиксить, главное что работает!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

49. Сообщение от Michael Shigorin (ok), 03-Авг-20, 11:39	+/–
Сравнивают две CMS на PHP+[My]SQL, упомянул третью; Вы точно так же вправе назвать любой другой вариант, который считаете красивым и оптимальным, желательно по опыту. :) Мне TYPO3 была вполне симпатична как проект, когда занимался созданием и поддержкой сайтов около osdn.org.ua (да, можно делать статическую вёрстку или статическую генерацию и при слэшдот-эффекте ровно это и спасло; только поддерживать такое я не был готов даже в две руки).  Это было лет пятнадцать-десять назад. Сейчас предпочитаю с такими задачами обращаться к тогдашнему коллеге по участию в тех же переводах и исправлениях -- Валере Романчеву; его ttlab продолжил заниматься именно CMS и сайтостроением. (2 ыы: вот _теперь_ самое время подскакивать и повизгивать про пиар, а мы похлопаем :) И что характерно, CMS всё так же развивается и работает. Питоньи фреймворки и CMS "не зашли" (хотя это у меня, а тот же NauDoc представлял из себя "цельнодраный Plone", по словам cray@, который одно время тащил это всё в альте и перетаскивал на новые питоны). Java-вые -- тоже (особенно с учётом того, что довольно долго *.linux.kiev.ua, включая ftp, www и lists, крутились вообще на одном Duron 800/512М с аккуратно разведённой кучкой дисков и vserver/ovz); хотя контакты с ребятами, которые умеют готовить ту же Alfresco, где-то наверняка остались. PS re #24: а как у 1С с эльбрусами? (я-то знаю, как -- с Пухом вместе ещё "Ломоносова" строили, но раз набежали с козырей -- извольте)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #54

50. Сообщение от Аноним (50), 03-Авг-20, 13:00	+2 +/–
"Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям." А кто-нибудь подскажет зачем таким файлам права на исполнение? ведь если он с 644, то интерпретатор его не должен выполнять вне зависимости от его содержимого.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #61

51. Сообщение от Аноним (51), 03-Авг-20, 13:04	+1 +/–
Раз не программист, тогда и нечего рассуждать. По качеству кода Битрикс находится под тем же плинтусом, рядом с вордпрессом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #53

52. Сообщение от Аноним (51), 03-Авг-20, 13:09	+/–
С какими такими кассами? Typo3 - это международный проект, если что. С чего бы местечковая российская специфика там должна быть в комплекте? Плагины для всяких там Paypal-ов и всяких Zoho CRM конечно есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

53. Сообщение от suffix (ok), 03-Авг-20, 13:18	–1 +/–
Снобизм свой поумерить не хотите ? Да, не программист но хостмастером себя назвать вполне могу :) Ну скажем в докaзательствльство: Возьмём к примеру лучший сервис проверки tls - immuniweb (раньше назывался htbridge). https://www.immuniweb.com/ssl/#about "The following security experts helped us improve this free product:" Первым в списке ваш покорный слуга :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

54. Сообщение от InuYasha (??), 03-Авг-20, 14:08	+/–
Собирался ставить Друпал - он норм? Хотел всё это подружить в ЛДАПом, но как-то оказалось пока чересчур мудрёно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

55. Сообщение от InuYasha (??), 03-Авг-20, 14:14	+3 +/–
"Сколько лет служу, а <s>пароль</s>проблема не меняется" ЧСХ, быд..сообщество ПХП отвергло инициативу P++ год назад.
Ответить | Правка | Наверх | Cообщить модератору

56. Сообщение от InuYasha (??), 03-Авг-20, 14:33	+/–
я правильно понимаю что там небинарные php-файлы, которые можно изменять по своему усмотрению? или там настолько анальная лицензия что за админом смотрит party van?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #63

57. Сообщение от Аноним (38), 03-Авг-20, 14:59	+/–
> если он с 644, то интерпретатор его не должен выполнять Это же пыхпых...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

58. Сообщение от Аноним (58), 03-Авг-20, 15:17	+1 +/–
Да сколько уже дыр в этих плагинах, теперь по каждому новость писать?
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от benu (ok), 03-Авг-20, 15:51	+/–
Прикольные истории для малышков у вас. :) https://www.babai.ru/video/ видео не открываются. FF 78.0.2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #60

60. Сообщение от suffix (ok), 03-Авг-20, 16:07	+/–
1. Спасибо :) Вы сказки имеете ввиду ? 2. Странно - проверил - показывает в 79-ом. Может глюк какой у Ютуба ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

61. Сообщение от Аноним (61), 03-Авг-20, 20:23	+/–
> ведь если он с 644, то интерпретатор его не должен выполнять А это и не интерпретатор, это препроцессор гипертекста. Так что выполняет всё подряд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

62. Сообщение от Satori (ok), 03-Авг-20, 21:20	+1 +/–
>Битрикс - это лучшее что доступно для разработки сайтов. Нет. Лучшее - это прямые руки и фреймворк. Пусть и на пыхе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

63. Сообщение от BlackRot (ok), 03-Авг-20, 22:16	+/–
Правильно понимаете. Всё открыто, можете редактировать что угодно на своё усмотрение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема