Закрытие security бага в LS

Здравствуйте!

Уведомляем вас о закрытии в LiveStreet 0.4.2 уязвимости XSS.
Уязвимость была обнаружена в сторонней библиотеке CSSTidy, используемой в LS.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 — http://livestreetcms.com/download/
Либо просто вручную удалите у себя файл /engine/lib/external/CSSTidy-1.3/css_optimiser.php.

Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.

UPDATE
Это приложение к первому письму, в котором мы, к сожалению, упустили еще один важный баг безопасности.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 — http://livestreetcms.com/download/
Либо внесите изменения вручную:
1. Найдите в файле /engine/modules/text/Text.class.php 213 строчку: return array($sTextShort,$sTextNew,$sTextCut);
2. Замените её на строчку: return array($sTextShort,$sTextNew,$sTextCut? htmlspecialchars($sTextCut): null);
Изменения можно посмотреть в SVN.

37 комментариев

avatar
а в 0.3.1 есть такая проблема? :)
avatar
нет, там еще не было сжатия css файлов
avatar
а вторая уязвимость? :)
avatar
т.е. если отключить сжатие CSS файлов, то первая уязвимость тоже «отключена»?
avatar
Нет. Загрузи этот файл из браузера — поймешь.
avatar
Вижу окно КСС оптимизатора. Плохого он ведь ничего не сделает с сайтом?

2. Я находил этот баг с катом ещё давненько. Вот только ничего плохого туда вставить нельзя, вот как-то и забыл об этом.
avatar
нет, можно
закрывающий > необязательно ставить
avatar
пока не догадался. есть возможность вставить скрипт или только хтмл код?
avatar
имею ввиду насколько оно критично?
avatar
вот именно, что скрипт можно вставить
avatar
Можно конкретнее в личную почту, что за уязвимость? Поправлю в репозитории
avatar
ort, а вот это?
  • xyz
  • 0
avatar
пропустил этот топик, с такими багами нужно писать в личку или на почту
avatar
странно, я наоборот думал, что ты его прочитал, так как он у меня самопроизвольно в черновики переместился
avatar
а после удаление файла функциональность не пострадает?
css сжимаются по умолчанию или настраивается в конфиге?
я что-то у себя сжатых особо и не замечал.
avatar
не пострадает
avatar
Закрыли еще одну уязвимость, обновил топик.
  • ort
  • 0
avatar
У меня это, видимо, строка 213 (а не 215)…
Current version of LiveStreet: 0.4.2
  • jno
  • -1
avatar
да, верно
комментарий был удален
avatar
а у меня нет такого файла, но есть похожий — class.csstidy_optimise.php
удаляя его — падает сайт
avatar
оу, простите. не читайте сообщение выше :)
avatar
спасибо за предупреждение, баг исправил… пока никто его не использовал :-)
avatar
Поправили, спасибо!
avatar
А зачем css_optimiser.php нужен был? Может сейчас производительность упадет или надо что-нибудь подправить немного просто?
avatar
Исправил, спасибо за сообщение.
Возможно имеет смысл сделать конкурс по взлому livestreet'a как у гугла например для хрома?)
avatar
Поддерживаю. Все выиграют если чем надо заинтересовать
avatar
Также поддерживаю, готов сделать вклад в призовой фонд.
avatar
Вы, вы ls и google не сравнивайте. Ну найдут пару дыр, а что дальше? Или вы готовы нанять лучших программистов, заплатив им по $10000, чтобы найти все дыры в ls?

Ведь у хрома были лучшие хакеры.
avatar
Дело не в том кто кому сколько заплатит, и не в том насколько великие люди пытаются взломать, а в том, что должна быть централизованная система по отлову дыр. Вас никто не просит ломать лс за копейки, но, если вдруг, вы решите поделиться найденной вами уязвимости было бы приятно если для этого был специальный сервис…
LS уже используют слишком много сайтов…
avatar
спасибо за предупреждение…
  • AeR
  • 0
avatar
после обновления баг в:
engine/modules/text/Text.class.php on line 214
ошибка вылезает при попытке добавить новость
avatar
ай-второе изменение не сделал… все ок
avatar
$sTextCut ? htmlspecialchars($sTextCut) : null
а зачем такое извращение?

htmlspecialchars($sTextCut)
и хватит.
avatar
Подскажите — файл удалил, правку внес, теперь при написании каждого поста возникает ошибка:

Warning: Cannot modify header information — headers already sent by (output started at /home/webmaster/www/xakep.lgg.ru/engine/modules/text/Text.class.php:1) in /home/webmaster/www/xakep.lgg.ru/engine/include/function.php on line 215

Warning: Cannot modify header information — headers already sent by (output started at /home/webmaster/www/xakep.lgg.ru/engine/modules/text/Text.class.php:1) in /home/webmaster/www/xakep.lgg.ru/engine/include/function.php on line 216
avatar
А можно добавить LiveStreet в репозитарий типа launchpad.net/ — установка CMS и установка обновлений по-моему сильно упростилась бы? Или это слишком сложно?? Я просто в ubuntu новичок и не сильно разбираюсь в таких вещах.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.