NewsFeaturesDownloadsDevelopmentSupportAbout Us

Релиз LifeType 1.2.7 (устранение критической уязвимости)

Выпущен релиз LifeType 1.2.7, который исправляет критическую уязвимость затрагивающую всю ветку LifeType 1.2.х. Данная уязвимость позволяла злоумышленнику загружать, и затем получать к ним доступ, исполняемые файлы (например *.php)

Дело в том, что переменная forbidden_upload проверяла загружаемые файлы с учетом регистра, и пропускала файлы, типа *.pHp, надеясь на настройки сервера, где должно быть включено ограничение на запуск подобных файлов. Поэтому мы настоятельно рекомендуем установить данный патч всем администраторам, использующим LifeType.

Также Вам нужно будет сформировать список файлов, доступных к загрузке через галерею, в upload_allowed_files (Администрирование) с учетом регистра, например таким образом: *.jpg *.JPG *.png *.PNG *.gif *.GIF *.bmp *.BMP

Для большей надежности Вы можете сформировать список запрещенных к загрузке расширений, через upload_forbidden_files всех исполняемых файлов, например: *.pHp *.pHP и т.д..

Рекомендуем Вам самостоятельно проверить систему, попытавшись загрузить через галерею любой исполняемый файл с расширением в нестандартном регистре.

Вполне возможно, что Ваш сервер не подвержен данной уязвимости (при попытке обратиться к таким файлам выдастся текст исходного кода). Если же все-таки такая возможность присутствует - рекомендуем проверить файловую систему на наличие подозрительных файлов с нестандартными расширениями. (Хотя, после загрузки подобные файлы могли быть переименованы)

Скачать LifeType 1.2.7 Вы можете по следующим ссылкам:

Инсталяционный пакет LifeType:

Lifetype 1.2.7 (.tar.bz2)
Lifetype 1.2.7 (.tar.gz)
Lifetype 1.2.7 (.zip)

Обновление с версии LifeType 1.2.6 (более ранние необходимо обновить до 1.2.6.):

Обновление с версии 1.2.6 (.tar.gz)
Обновление с версии 1.2.6 (.zip)