Важное обновление безопасности system 3.3.10

[Дмитрий Кондин 690]

Настоятельно рекомендую обновить систему до новой версии 3.3.10.

Данное обновление закрывает уязвимость загрузки PHP кода через старый менеджер фото.

Если у вас много свои наработок и вы не хотите полностью обновлять систему тогда сделайте это:

1. Удалите вот эти файлы

/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

 

[bunz 2]

При обновлении выдает ошибку  Ошибка при обновлении приложения: incompatible_archive

[Дмитрий Кондин 690]

1 час назад, bunz сказал:

При обновлении выдает ошибку  Ошибка при обновлении приложения: incompatible_archive

Значит давно не обновлялись. Вот решение

 

[mmkulikov 14]

Fatal error: Class 'local_articles_admin' not found in .....apps/system/lib/system/apps/apps_processor.php on line 97

[Дмитрий Кондин 690]

22 минуты назад, mmkulikov сказал:

Fatal error: Class 'local_articles_admin' not found in .....apps/system/lib/system/apps/apps_processor.php on line 97

удалите таблицу re_apps_cache

[mmkulikov 14]

Только что, rumantic сказал:

удалите таблицу re_apps_cache

А почему этого не сделала цмс при обновлении?

[Дмитрий Кондин 690]

Только что, mmkulikov сказал:

А почему этого не сделала цмс при обновлении?

У вас ведь особый случай, вы сами дорабатывали apps.articles вот она и вызвает ошибку в кэше.

Поэтому для вас кэш пока нельзя применять, я вам предлагал удалить вашу доработку apps.articles.

[mmkulikov 14]

37 минут назад, rumantic сказал:

удалить вашу доработку apps.articles

Доработка или нет, но сделано штатными средствами. Да и доработка "штатная". Перекрыты в теме некоторые особенности модуля.

Или это уже не работает? Я о возможности перекрытия  в теме...

Что плохого, если штатные средства обновления будут чистить кеш? Особенно если это ни к чему плохому не приведет, а даже наоборот....

[Дмитрий Кондин 690]

51 минуту назад, mmkulikov сказал:

Доработка или нет, но сделано штатными средствами. Да и доработка "штатная". Перекрыты в теме некоторые особенности модуля.

Или это уже не работает? Я о возможности перекрытия  в теме...

Что плохого, если штатные средства обновления будут чистить кеш? Особенно если это ни к чему плохому не приведет, а даже наоборот....

У вас не совсем штатная доработка. Локализация admin для articles выполнена не по правилам. Вы ее просто скопировали без переименования класса.

[metrpro 42]

В 03.03.2017 в 09:55, rumantic сказал:

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

в cache/upl уже есть следующее содержимое:

RewriteEngine Off
<IfModule mod_php5.c>
  php_value engine off
</IfModule>
<IfModule mod_php4.c>
  php_value engine off
</IfModule>

 

[Chernetskiy 469]

В 03.03.2017 в 08:55, rumantic сказал:

2. В каталогах /cache/upl/ и /img/data/ замените в .htaccess файлы вот этим, если их нет то создайте

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

 

Вот этот момент почему-то у сайтов на https вызывает ошибку 403. 

[Chernetskiy 469]

И вот эти файлы

/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

обязательно удалять, или они автоматически обновятся при обновлении системы до 3.3.10 ?

[Дмитрий Кондин 690]

5 часов назад, Chernetskiy сказал:

И вот эти файлы

/apps/system/js/jquery-file-upload/server/php/index.php
/apps/system/js/jquery-file-upload/server/php/UploadHandler.php

обязательно удалять, или они автоматически обновятся при обновлении системы до 3.3.10 ?

При обновлении они будут перезаписаны безопасными вариантами (пустые файлы).

Если автоматически обновляетесь, то удалять не нужно.

[Дмитрий Кондин 690]

10 часов назад, metrpro сказал:

в cache/upl уже есть следующее содержимое:

RewriteEngine Off
<IfModule mod_php5.c>
  php_value engine off
</IfModule>
<IfModule mod_php4.c>
  php_value engine off
</IfModule>

 

Вот это нужно заменить на то что выше.

Потому что старый вариант уже не защищает.

[Дмитрий Кондин 690]

5 часов назад, Chernetskiy сказал:

Вот этот момент почему-то у сайтов на https вызывает ошибку 403. 

А как вы такую ошибку получаете? Что делаете?

[Chernetskiy 469]

7 часов назад, rumantic сказал:

А как вы такую ошибку получаете? Что делаете?

Не обратил внимание куда именно надо было вставить код для htaccess и впихнул в корневой, что вызвало ошибку 403. Сайт на https. Работа сайта возобновляется, если вышеуказанный код убрать из корневого htaccess

<FilesMatch "\.(jpg|gif|png|jpeg)$">
 Order allow,deny
 Allow from all
</FilesMatch>
Order deny,allow
Deny from all

После обновления указанный код установлен в в htaccess в нужных папках (cache/upl/ и /img/data/ ) и ошибок не вызывает.

[bunz 2]

On 09.03.2017 at 0:13 PM, rumantic said:

Значит давно не обновлялись. Вот решение

 

Данный метод не срабатывает. Воспользоваться вторым способом?

[Дмитрий Кондин 690]

33 минуты назад, bunz сказал:

Данный метод не срабатывает. Воспользоваться вторым способом?

Да

[revtail 14]

Доброго времени суток)

Да уж, уязвимость заставила поднапрячься, что бы почистить хостинг от этого г**на. Закачивали php, засылали запросами, сервер тоннами рассылал письма, даже абусы приходили на мой ip((

Причем, закачивали через sitebill, а натравливали на wordpress xmlrpc.php

Для решения на Nginx использовал набор таких правил

location ~* ^/cache/upl/.+\.(jpg|gif|png|jpeg)$ { 
	root	/var/www/*****;
}

location ~* ^/cache/upl/ { 
	return 403;
}

location ~* ^/img/data/.+\.(jpg|gif|png|jpeg)$ { 
	root	/var/www/*****;
}

location ~* ^/img/data/ { 
	return 403;
}

 

[abushyk 694]

Если вы не используете поля типа uploadify_image, а только uploads, то допустимо закрыть папку /cache/upl/ вообще безусловным Deny from all. Разрешение на картинки дано исключительно ради поддержки этого элемента, так как он оттуда показывает превьюшку на форме при загрузке. Я потом подберу ему другой способ превьюирования, совместимый с uploads, и это разрешение станет неактуальным.

[Chernetskiy 469]

Возникла проблема!

Не связываю её конкретно с этим обновлением, но сегодня попытался найти установленное у меня приложение Твиттер-кросспостинг и нигде в админке его не вижу. Приложение было установлено и настроено давно, всё обновлено, ключи в базе прописаны, а вот визуально Твиттер-кросспостинг отвалился. Я сейчас не уверен работает-ли он. Я наверное больше полугода не обращал на него внимание, по этому не связываю с последним обновлением, возможно отвалился и на ранних обновлениях.

Куда копать?

[Дмитрий Кондин 690]

11 час назад, Chernetskiy сказал:

Возникла проблема!

Не связываю её конкретно с этим обновлением, но сегодня попытался найти установленное у меня приложение Твиттер-кросспостинг и нигде в админке его не вижу. Приложение было установлено и настроено давно, всё обновлено, ключи в базе прописаны, а вот визуально Твиттер-кросспостинг отвалился. Я сейчас не уверен работает-ли он. Я наверное больше полугода не обращал на него внимание, по этому не связываю с последним обновлением, возможно отвалился и на ранних обновлениях.

Куда копать?

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

[Chernetskiy 469]

6 часов назад, rumantic сказал:

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

А как быть тому, кто купит модуль Твиттер-кросспостинг и попытается установить и настроить его? Куда настройки пихать (ключи)? Копаться в MySQL?

[Chernetskiy 469]

8 часов назад, rumantic сказал:

Очистите таблицу re_apps.

Но скорей всего в админке оно будет только в виде настроек. Потому что интерфейса у него нет, поэтому и в админке оно не выводится.

Если оно есть в настройках, то все в порядке.

Таблицу очистил и ничего не изменилось. Настройки так и не появились. Модуль скорее всего тоже не работает, поскольку не был замечен в каких-то репостах 

[Дмитрий Кондин 690]

1 час назад, Chernetskiy сказал:

Таблицу очистил и ничего не изменилось. Настройки так и не появились. Модуль скорее всего тоже не работает, поскольку не был замечен в каких-то репостах 

Попробуйте запустить в админке так

http://ваш_сайт/admin/?action=twitter

и после этого зайти в настройки.

А до обновления вы твиттер вообще настраивали как-нибудь? Или только сейчас про него вспомнили?