VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
В дополнение от выпущенных ранее патчей для версии 9.7, в данном патче используется более улучшенный алгоритм в фильтрации шаблонов, позволяющий устранить некоторые несовместимости со сторонними модулями и ряд некоторых других проблем, связанных исключительно с версией 9.7. А также был изменен алгоритм загрузки картинок, который больше не позволяет использование анимированных картинок .gif. Все загружаемые анимированные картинки! будут выводится в виде статических картинок. Данная мера является вынужденной и необходимой, в связи с рядом ограничений формата gif, который не позволяет в достаточной мере отфильтровать вредный код в картинках, единственным эффективным способом является только снятие поддержки анимации в данных картинках.
Обновление актуально для версий: 9.7. Если вы пользуетесь другой более ранней версией скрипта ставить данный патч не нужно, но убедитесь, что вы установили более ранние патчи безопасности http://dle-news.ru/bags/ для вашей версии скрипта.
Обновленный патч безопасности устраняющий все обнаруженные ранее для версии 9.7 проблемы безопасности. В дополнение от выпущенных ранее патчей для версии 9.7, в данном патче используется более улучшенный алгоритм в фильтрации шаблонов, позволяющий устранить некоторые несовместимости со сторонними модулями и ряд некоторых других проблем, связанных исключительно с версией 9.7. А также был изменен алгоритм загрузки аватаров, который больше не позволяет использование анимированных картинок .gif. Все загружаемые анимированные картинки будут выводится в виде статических картинок. Данная мера является вынужденной и необходимой, в связи с рядом ограничений формата gif, который не позволяет в достаточной мере отфильтровать вредный код в картинках, единственным эффективным способом является только снятие поддержки анимации в данных картинках.
Данная мера является вынужденной и необходимой, в связи с рядом ограничений формата gif, который не позволяет в достаточной мере отфильтровать вредный код в картинках, единственным эффективным способом является только снятие поддержки анимации в данных картинках.
Т.е. аватары в vbulletin, где эта анимация нормально грузится, опасны по-умолчанию? Или в DLE как обычно просто перепугались ?
Понятно, что тут несколько звезд должны совпасть - нужна неправильная настройка сервера позволяющая выполнять этот опасный код в gif.
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3983
Репутация в разделе: 680
0
Quote:
Originally Posted by netwind
Т.е. аватары в vbulletin, где эта анимация нормально грузится, опасны по-умолчанию?
kerk уже пояснял как-то, что полностью обезопасить можно только заново пересохранив файл.
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,846
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20333
Репутация в разделе: 7761
1
Quote:
А также был изменен алгоритм загрузки аватаров, который больше не позволяет использование анимированных картинок .gif. Все загружаемые анимированные картинки будут выводится в виде статических картинок. Данная мера является вынужденной и необходимой, в связи с рядом ограничений формата gif, который не позволяет в достаточной мере отфильтровать вредный код в картинках, единственным эффективным способом является только снятие поддержки анимации в данных картинках
о как
чем анимация то не угодила ДЛЕ-шникам?
загружаем картинку во временную дир. и сохраняем в каталоге аватар новый файл из временного
весь "вредоносный код" из файла удаляется
@StenLi
На доске почёта Пожизненный блэк
Join Date: Aug 2008
Награды в конкурсах:
Posts: 2,729
Версия vB: 3.6.x
Reputation:
Expert 1991
Репутация в разделе: 636
0
Quote:
Originally Posted by kerk
о как
Dle все все делают последними...
Quote:
Originally Posted by kerk
чем анимация то не угодила ДЛЕ-шникам?
Ну мб потому что у них при проверке файл расширения .gif - оно грузилось как есть, т.е. php код в файле оставался и не подвергался изменениям и был доступен для инклуда в рабочем состоянии.
Quote:
Originally Posted by kerk
загружаем картинку во временную дир. и сохраняем в каталоге аватар новый файл из временного
весь "вредоносный код" из файла удаляется
Это интересно как, если при функции copy() не изменяется содержимое, хоть 100500 раз скопируй.
Другое дело уменьшить файл хотябы на 0.0000000000001 пикселя, тогда код изменится и пхп код в файле попортится.
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3983
Репутация в разделе: 680
1
Quote:
Originally Posted by StenLi
тогда код изменится и пхп код в файле попортится.
И в случае с gd прощай анимация.
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,846
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20333
Репутация в разделе: 7761
1
Quote:
Originally Posted by StenLi
если при функции copy() не изменяется содержимое, хоть 100500 раз скопируй.
а кто говорил, что используется функция copy() ?
я создаю новую картинку из той, что загружена во временный каталог
Критическое обновление безопасности для DataLife Engine
