Релиз LiveStreet CMS 1.0.3

Безопасность LiveStreet CMS
Обнаружена критическая уязвимость в движке LiveStreet, которая позволяет получить права администратора сайта. Уязвимы абсолютно все сайты под управлением ЛС начиная с 0.4 версии движка.

Временное решение — использовать браузер Firefox, пока мы с ort выпустим патч.

Выход новой версии ливстрита связан с закрытием уязвимостей.

Решение

Для закрытия двух критических дыр необходимо поставить патч (для ЛС 1.0.2, 0.5.1 и 0.4.2). Файлы закачивать поверх существующих.

или

Скачивать полностью весь новый дистрибутив 1.0.3 здесь.

Изменения в следующих 4-х файлах:

config/jevix.php
engine/lib/external/Jevix/jevix.class.php
engine/lib/external/swfupload/swfupload.swf
engine/modules/session/Session.class.php


Топик на официальном комьюнити.

Хочу ещё раз отметить — дыры критические, поэтому тянуть резину не нужно.
Возможно позже опубликую полный эксплоит, когда большая часть пользователей обновится.
0 комментариев
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.