axel: Блог

Главные вкладки

Уязвимость: междусайтовое исполнение скриптов в Drupal

6 января 2007 в 16:43

* Advisory ID: DRUPAL-SA-2007-001.
* Project: Drupal Core.
* Version: 4.6, 4.7.
* Date: 2007-Jan-05.
* Security risk: Less critical.
* Exploitable from: Remote.
* Vulnerability: Cross site scripting.

Подвержены версии Drupal 4.6.x до Drupal 4.6.11 и Drupal 4.7.x до Drupal 4.7.5.

Вопросы о доменной зоне SU

17 декабря 2006 в 20:22

Просто интересно услышать мнения по вопросам вокруг доменной зоны SU. Как вы полагаете, какие перспективы у этой зоны? Имеет смысл покупать в ней домены для сайтов ориентированных на рунет? Или только при ориентации на ближнее зарубежье? Вот только тогда интересно как в той же Беларуссии или Украине воспринимают сейчас этот SU? Как домен объединяющий страны exUSSR или исключительно российский домен?

О безопасности PHP (перепечатка с opennet.ru)

16 декабря 2006 в 14:35

Цитирую с http://www.opennet.ru/opennews/art.shtml?num=9234:

Stefan Esser, занимавшийся выявлением проблем связанных с безопасностью, заявил об уходе из PHP security team, заявив, что потерял веру в возможность решения проблем безопасности PHP изнутри.

Кто-нибудь делал перевод для ecommerce?

15 декабря 2006 в 18:00

Русский перевод для модулей ecommerce никто не делал случаем? Для 4.7, но пойдёт и для другой версии.

Уязвимости в модуле chatroom

13 декабря 2006 в 11:20

Проблемы в стороннем модуле, тем кто использует данный модуль следует обновить его до версии: http://drupal.org/node/102616

Advisory ID: DRUPAL-SA-2006-030.
Project: Chatroom (third-party module).
Date: 2006-Dec-11.
Security risk: Highly critical.
Exploitable from: Remote.
Vulnerability: Security bypass.

Уязвимости в модуле help tip

13 декабря 2006 в 11:18

Проблема в стороннем модуле, тем кто использует данный модуль следует его обновить.

Advisory ID: DRUPAL-SA-2006-029.
Project: Help Tip (third-party module).
Date: 2006-Dec-11.
Security risk: highly critical.
Exploitable from: remote.
Vulnerability: SQL Injection, Cross site scripting.

Исправленная версия: http://drupal.org/node/102610

Активность сообщества drupal.ru

12 декабря 2006 в 11:59

Drupal.ru всё ещё далёк от идеала, но если посмотреть на остальные национальные друпаловские сообщества (ссылки см. на www.drupal.org/community), то русский сайт впереди планеты всей по числу опубликованных документов (недавно статистика перевалила за 3000 нодов), комментариев к ним и числу зарегистрированных пользователей. Следом идёт немецкий drupalcenter.de (<2500 нодов, <1400 пользователей). Что ж, у нас есть достойная задача преобразовать количество в качест

Статья о системах управления версиями на сайте IBM

8 декабря 2006 в 20:23

Некоторое время назад писал про системы управления версиями на примере распределённых систем (к слову в репозитории drupal.ru проекты хранятся под управлением распределённых VCS Darcs и Bazaar-NG. Тем кому тема интересна будет полезна статья на сайте IBM, где подробно и с иллюстрациями разъясняется работа различных видов VCS как части систем управления исходными текстами (SCM):

Междусайтовое исполнение скриптов в стороннем модуле CVS management/tracker

6 декабря 2006 в 2:56

Модуль CVS management/tracker.

* Advisory ID: DRUPAL-SA-2006-028.
* Project: CVS management/tracker (third party module).
* Date: 2006-Dec-05.
* Security risk: less critical.
* Exploitable from: remote.
* Vulnerability: Cross site scripting.

Ядро Drupal не подвержено уязвимости, следует обновиться если используется данный сторонний модуль.
Подробности: http://drupal.org/node/101540

Ненавижу PHP ;E

30 ноября 2006 в 7:06

Ещё одна мелочь в копилку проблем PHP. Насколько всёже угрёбищно работает этот язык с юникодом. И это в новом PHP 5.

Вот абстрактный кусок кода:

<?php
mb_ereg_search_init($string, '[[:alpha:]]+');
$len = mb_strlen($string);
$location = mb_ereg_search_pos();
print_r($location);
?>

В $string - строка на русском в UTF-8. Для корректной работы с UTF-8 как можно видеть задействованы функции mbstring, не стал использовать override для них, вызвал явно. Первая функция инициирует поиск регвыражения в строке $string, ок, тут всё в порядке. Вторая получает длину строки - как и ожидаемо с учётом двухбайтовых русских символов, т.е. длина в символах, не в байтах. Дальше делаем поиск, который возвращает массив из двух элементов - смещение и длину найденного фрагмента. И вот тут эта зараза возвращает уже не смещение и длину в символах (работаем ведь со строкой), а значения в байтах! В руководстве правда это явно указано:

Уязвимость ядра Drupal - form action attribute injection

14 октября 2006 в 0:00

Advisory ID: DRUPAL-SA-2006-026
Project: Drupal core
Date: 2006-Oct-18
Security risk: Less critical
Exploitable from: Remote
Vulnerability: HTML attribute injection

Подробности: http://drupal.org/node/88829

Уязвимость ядра Drupal - междусайтовая подделка запросов

13 октября 2006 в 4:14

Advisory ID: DRUPAL-SA-2006-025
Project: Drupal core
Date: 2006-Oct-18
Security risk: Highly critical
Exploitable from: Remote
Vulnerability: Cross site request forgeries

Подробности: http://drupal.org/node/88828

Ядро Drupal - множественные уязвимости межсайтового исполнения скриптов

13 октября 2006 в 0:00

Advisory ID: DRUPAL-SA-2006-024
Project: Drupal core
Date: 2006-Oct-18
Security risk: Moderately critical
Exploitable from: Remote
Vulnerability: Cross site scripting

Подробности: http://drupal.org/node/88826

Статья "Использование Open Source CMS. Риски и реалии"

15 сентября 2006 в 3:44

Статья по ссылке, это конспект доклада автора с конференции LinuxLand. Написано весьма доходчиво, полагаю даже для менеджеров, которым это и рекомендуется почитать. Ссылка взята в сообществе ru_cms.

Определены финалисты Packt Open Source Content Management System Award

4 сентября 2006 в 16:49

Номинации на награду Packt Open Source Content Management System Award проводятся ежегодно. Участвуют проекты CMS под свободными лицензиями. Призы составляют 5000$, 3000$ и 2000$ за первое, второе и третье места. Сегодня были объявлены пять финалистов за 2006 год, которые будут участвовать в заключительном голосовании.

Список голосов за наиболее популярные CMS, вышедшие в финал, распределился так:

  1. Drupal
  2. e107
  3. Joomla
  4. Plone
  5. Xoops

Спасибо тем кто номинировал Drupal на эту награду!

Ещё одна статья о Drupal на сайте IBM

1 сентября 2006 в 11:34

На сайте IBM’s DeveloperWorks опубликована новая, уже 5ая по счёту, статья из серии статей, рассказывающих о Drupal.

Ссылка на статью: http://www.ibm.com/developerworks/ibm/library/i-osource5/

См. также: http://drupal.ru/node/1886
Источник новости: http://drupal.org/node/81557

get_tomorrow_date

17 августа 2006 в 14:35

Скоро это станет баяном, если уже не стало Smile

На одном индусском форуме программистов задали вопрос: "Как вычислить завтрашнюю дату?" Ответ был шедевральным и уже можно считать вошёл в классику программерского юмора:

Методы отсечения посторонних посетителей

15 августа 2006 в 20:18

Можно считать продвинутым аналогом captcha - http://monitor.net.ru/forum/profile.php?mode=register&agreed=true Без знаний по теме - не пройдёшь.

Уязвимость XSS в модуле user

6 августа 2006 в 17:27

* Advisory ID: DRUPAL-SA-2006-011
* Project: Drupal core
* Date: 2006-Aug-2
* Security risk: less critical
* Impact: Drupal core
* Exploitable from: remote
* Vulnerability: cross-site scripting

Подробности: http://drupal.org/node/76748

О Drupal на IBM DeveloperWorks

13 июля 2006 в 1:55

На популярном сайте IBM's DeveloperWorks открыта серия статей "Использование свободного п/о в проектировании, разработке и и развёртывании вебсайта для коллективной работы". В числе рассмотренных CMS - Typo3, Mambo, среда Ruby on Rails и Drupal. Авторы отдают предпочтение друпалу и приходят к выводу, что хотя друпал имеет определённый "порог вхождения", для достижения удобной работы с ним, но этот порог не выше, чем у других рассмотренных CMS. При этом, друпал "provided the right combination of framework and flexibility ...to get the job done".

Уязвимость XSS в модуле webform

13 июля 2006 в 1:51

* Advisory ID: DRUPAL-SA-2006-010
* Project: webform
* Date: 2006-Jul-09
* Security risk: critical
* Impact: webform
* Exploitable from: remote
* Vulnerability: multiple cross-site scripting

Подробности: http://drupal.org/node/72846

Уязвимость со вставкой заголовков в модуле form_mail

13 июля 2006 в 1:50

* Advisory ID: DRUPAL-SA-2006-009
* Project: form_mail
* Date: 2006-Jul-4
* Security risk: moderately critical
* Impact: security bypass
* Exploitable from: remote
* Vulnerability: mail header injection attack

Подробности: http://drupal.org/node/72177

Правила размещения объявлений

18 июня 2006 в 12:42

Данный форум предназначен для поиска работы для вебмастеров, программистов и дизайнеров, а также для предложений работы связанной с созданием сайтов и т.п. вебсервисов (как работающих на Drupal так и не работающих на нём).

Управление версиями: распределённые системы

15 июня 2006 в 13:21

Короткое предисловие

Побудили к написанию этой статьи три вопроса, которые порой задают, когда речь заходит о системах управления версиями, чаще чем хотелось бы это слышать:

  1. Зачем нужны другие системы, когда есть Subversion?
  2. А что, есть что-то кроме CVS? (вариант "кроме Visual Source Safe?")
  3. А что это такое?

Проще один раз ответить и потом давать ссылки. Однако, если вы знаете ответы на вопросы 2 и 3 - пропустите введение. Если ответ на вопрос 1 для вас очевиден и бесспорен - пропустите статью целиком.