16 марта 2010 в 1:46
Провел тест уязвимостей хорошо обновленного и плохо обновленного сайтов (с 6.15 до 6.16) сканером XSpider 7.7 Build 3253, результат приводить не буду. Но те кто плохо обновился рискуют остаться без сайта. Прога выявляет 2 возможности для SQL инъекций. Так что обновляйтесь внимательно.
Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.
Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code
Drupal – торговая марка Дриса Бёйтарта
Поддерживать инфраструктуру Drupal.ru нам помогает компания ДАЛЕЕ
Комментарии
Выкладывай уязвимости, все эти автоматические сканеры куйня какую ещё поискать надо
search_theme_form=1&op=РџРѕРёСЃРє&form_build_id=form%2D30a1f61ffeceda6dc3b2beda526f6ade&form_id=search%5Ftheme%5Fform'
и
search_theme_form=1&op=РџРѕРёСЃРє&form_build_id=X%20S&form_id=search%5Ftheme%5Fform
обе из-за
<...>
rupal.semaphore' doesn't exist
query: SELECT expire, value FROM semaphore WHERE name = 'locale_cache_ru' in /www/****/www/htdocs/includes/lock.inc on line 154.
query:
<...>
Ну а пояснения?
брехня
какого рода? что машинка дала то и скопировал.
для когото и index.php?act=../../../../../etc/passwd/////[…]/////
кладезнь информации
так а ты проверял? машинка много чего выдать может.
ну это не про друпал
Для одаренных - а в чем разница между "хорошим" и "плохим" апдейтом???
Используя телепатию первого уровня делаю вывод, что «плохой» апдейт это без выполнения update.php
очередная уязвимость из серии
"пользователь с админскими правами....)
http://drupal.org/node/732024#comment-2714714
оказывается сколько людей не читает README, уже второй пост на тему semaphore doesn't exist
Учитесь читать то что написано, а не то что вам мерещиться!
Вы чего топик вообще не читали, я привел пример что те кто криво обновился, добавляют себе глюк на сайте, и брешь в защите по версии сканера безопасности.
Спасение утопающих - дело рук самих утопающих.
Не устраивать же отряды Тимуровцев, которые будут сайты обновлять
RxB, коллега не занудствуйте, вам это не идет : )
Просто после того как прочитал, как пытаются обойти последствия своего же кривого обновления решил потестить последствия и решил поделиться результатами.... чувствуется зря.
Кто криво обновился не понимают наших добрых слов про update.php, пусть познают на горестных словах хостера после того как их ХаКиРы хакнут
Пусть : )
какие вы злые!
читаем заголовок
ммм что видим? Что апдейт 6.16 кривой и уязвимый! а текст сообщения ясности вообще не вносит.
либо учимся писать, либо не учи читать других.
а название топика тогда должно быть
хотя в тексте топика про уязвимости и слова нету. так можно писать про любой выпуск любой программы. ведь дыры есть везде, как мы знаем.
нет никакой уязвимости, xSpider встретил системное сообщение друпала об отсутствующей таблице semaphore и принял его за SQL инъекцию
Похоже на правду, наверное так и есть.