e2 v1029: исправлены уязвимости

В v1026, v1028 и v1029 были исправлены несколько уязвимостей e2. Каждая из них сама по себе не является слишком страшной, однако, используя их вместе, можно было (при остром желании — для этого пришлось бы прибегнуть к методу грубой силы) получить возможность выполнять любой код на вашем сервере. Описание самих уязвимостей появится через несколько дней в KB. Смысл в том, чтобы люди успели обновиться до того, как злоумышленники узнают, как можно взломать e2.

Перед установкой обновления убедитесь, что ко всем файлам и папкам e2 стоят права доступа 0777, иначе часть патчей применить не удастся.

Возможно вы видели, что пару дней назад The Meanwhile был кем-то уронен. Хакер так и не объявился, поэтому точно сказать каким образом он сюда пробрался я пока не могу. Насколько я могу судить, человек воспользовался комбинацией дырки на моём сервере, не связанной с e2, и дырки в e2, исправленной в v1026. Это был достаточно простой способ, если до него догадаться, т. к. он позволял обойти именно то место в дырках e2, где нужна была грубая сила. Кроме того, логи сервера за тот день показывают, что грубой силой никто ничего не искал (правда, возможно это было сделано не в тот день, а раньше).

Короче, обновляйтесь.

Update: Уже есть v1030, правда ничего существенного. И, теперь можно скачать новый дистрибутив v1030.

Подписаться на блог
Отправить
Запинить
Дальше
Мои книги