Фикс безопасности в LiveStreet 0.5.1

Блог разработки LiveStreet
В LiveStreet 0.5.1 в js библиотеке prettyPhoto обнаружена уязвимость XSS.

Варианты исправления:


Настоятельно требуем выполнить обновление.

19 комментариев

avatar
Грех не похвастаться :) посетители моего ресурса нашли, слава и почет им :) Хотя не поверите у меня исторических ресурс :)))) Вот такие нынче истории и работники музея у нас :) проверяют безопасность, путем js ))))))
avatar
хотел написать:
«Вот такие нынче историки и работники музея у нас»
avatar
Я уже исправил.
комментарий был удален
комментарий был удален
avatar
Спасибо исправил.
avatar
Вообще думаю интересно было бы тестеров из fixber.com направить на сайт, может что еще найдут, недавно прочитал про этот сервис на хабре, платят им уже за найденные баги, перед релизом не плохо было бы прогонять…
  • gran
  • +1
avatar
можно попробовать
avatar
Ага тоже читал не одну статью про него. Буржуйских аналогов много… Кстати, как говорят те же ребята из fixber, они как бы первые нишу щупают в этом плане, так что я их поддерживаю и тож советую
avatar
Уже здесь)
avatar
ИМХО, это не уязвимость в библиотеке, а фича. Плагин просто предназначен для статических сайтов, где администратор может вставить HTML куда ему нужно (туда, где уязвимо), например для жирного текста, курсива и т.п. Тут лучше фильтрацию в самом движке добавить.
avatar
да, но движок в title приписывал уже экранированный html, т.е. прогонял его через htmlspecialchars
avatar
Текущая версия: LiveStreet 0.5.1 — 30.09.2011
может нужно дату поменять, чтобы понятней было?
а вообще планируется выпускать фиксы безопасности или фиксы движка вне выпуска версий?
avatar
Поддерживаю, Livestreet зачем-то отринул все стандарты нумерации.
Третья цифра означает багфиксы, вторая — новые функции, фичи, первая — должна стать единицей, как только заморожено API и не будет меняться до следующей версии. Вот документ, советую разработчикам прочесть его.
avatar
Третья цифра означает багфиксы, вторая — новые функции, фичи
так и есть, только не включали в нее незапланированные фиксы безопасности. Теперь будем более строго следовать нумерации версий, со следующей версии.
avatar
а когда ожидается новая версия? и что в ней будет нового?
было бы классно, если бы был updater.по типу: залил на сервер, запустил скрипт, он обновил файлы.
avatar
поддерживаю :) причем переде этим было написано какие файлы будут заменены.
avatar
Идея отличная. Админку родную бы, да и давно пора ей заявить о себе.
Тоже поддержу вопрос по поводу новой версии. Насколько помню, то о новой версии LS заговорили в ноябре-декабре. И даже заговорили о том, что новая версия появится вместе с новым шаблоном в январе-феврале. Однако, ждём уже полгода. Именно поэтому, на данный вопрос будет совсем не лишним ответить оф. представителям. :)
комментарий был удален
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.