e2 v1029: исправлены уязвимости

В v1026, v1028 и v1029 были исправлены несколько уязвимостей e2. Каждая из них сама по себе не является слишком страшной, однако, используя их вместе, можно было (при остром желании — для этого пришлось бы прибегнуть к методу грубой силы) получить возможность выполнять любой код на вашем сервере. Описание самих уязвимостей появится через несколько дней в KB. Смысл в том, чтобы люди успели обновиться до того, как злоумышленники узнают, как можно взломать e2.

Перед установкой обновления убедитесь, что ко всем файлам и папкам e2 стоят права доступа 0777, иначе часть патчей применить не удастся.

Возможно вы видели, что пару дней назад The Meanwhile был кем-то уронен. Хакер так и не объявился, поэтому точно сказать каким образом он сюда пробрался я пока не могу. Насколько я могу судить, человек воспользовался комбинацией дырки на моём сервере, не связанной с e2, и дырки в e2, исправленной в v1026. Это был достаточно простой способ, если до него догадаться, т. к. он позволял обойти именно то место в дырках e2, где нужна была грубая сила. Кроме того, логи сервера за тот день показывают, что грубой силой никто ничего не искал (правда, возможно это было сделано не в тот день, а раньше).

Короче, обновляйтесь.

Update: Уже есть v1030, правда ничего существенного. И, теперь можно скачать новый дистрибутив v1030.

Дальше
Обновился и заадаптивился сайт Эгеи
У меня неделя новостей Эгеи, как видите: вышла версия 2.9, обновился сервис
 7    1655   2020
Математика в дизайне
Некоторые видели, что происходит, если на Маке ввести неправильный пароль для входа в систему. Вместо того, чтобы показывать модальное окно с кнопкой OK
 35    5429   2009
Ctrl ←sike 12
Ctrl →Поиск в e2, проблемы транслитерации
Мои книги

Пользовательский интерфейс

Дизайн транспортных схем

Консультации о дизайне
сайтов и приложений
15 000  / час

Плакат о синтаксисе
элементов интерфейса
60 × 40