Фикс безопасности в LiveStreet 0.5.1

22
Блог разработки LiveStreet
Новый Год не всегда приносит радостные эмоции и отличные подарки, иногда сюрпризы более мрачные.
В LiveStreet 0.5.1 в фото-сетах обнаружена XSS уязвимость.

Патч, исправляющий баг, здесь — github.com/livestreet/livestreet/commit/c5b8e20d0ec380c2f2222fa266261d22dc36f926
Либо можно просто повторно скачать архив с LS от сюда — livestreetcms.com/download/ (архив обновлен)

Настоятельно рекомендуем требуем выполнить обновление.
  • +5
  • 08 января 2012, 09:44
  • ort

Комментарии (39)

RSS свернуть / развернуть
Самое простое решение — удалить ActionPhotoset?
Если не используешь в смысле.
0
Можно подробнее, я как раз не планирую использовать фотосет на своем проекте, чтобы его запретить, достаточно закоментарить строку в конфиге?
//$config['router']['page']['photoset']        = 'ActionPhotoset';


А как убрать ссылку на создание фотосета при добавлении материала? Просто править шаблон, или можно как-то на более высоком уровне запретить и убрать из списка?
0
Спасибо. Уже обновляемся.

Также спасибо за небольшое нововведение в виде количества пользователей добавивших топик в избранное. Сори за офтоп, просто мне не целесообразно создавать ради этого отдельный топик.
0
пока это не похоже на нововведение, скорее на высветившийся баг :)
0
а вот теперь похоже :)
0
Сильно не пинайте, но для «не продвинутых» пользователей:

1 Достаточно ли будет заменить файлы на сервере на новые из установки LS (и не стоит ли сделать отдельный архивчик для замены нужных файлов как поступают в друхих CMS)?
2 Как применить Патч, чтобы не открывать ручками и не заменять построчно?
0
Лично я просто полностью скачал и заменил файл ActionPhotoset.class.php и вручную исправил строку в теме, поскольку использую нестандартную.
0
Да я тоже заменил файлами. И я имел в виду естественно стандартные темы.
0
В чём проблема оборачивать все $_REQUEST и получать данные из глобальных функций, как это сделано в «продвинутых» CMF?
-1
реквест и так экранируется, но здесь немного другая специфика бага
+1
Я вижу 
is_numeric
сути это не меняет. Опять же пропускать через функцию, я думаю много где нужно фильтровать только цифры.
-1
не то видишь, вот github.com/livestreet/livestreet/blob/master/engine/modules/viewer/Viewer.class.php#L249
0
htmlspecialchars это совсем не is_numeric =\
Короче проехали. Надеюсь ты понял что я имел ввиду.
-1
я вот тоже не могу понять что вы ищете?
приведение типов?
0
Я пишу о штатных функциях фильтрования переменных и использования их.
0
такие есть, кстати.
0
интересно, вы перед написание поинтересовались существованием «глобальных функций» в этой КМС?
0
Скажите этот фикс обязателен в том числе и для шаблона Simple?
0
для всех, но можно и ограничиться только фиксом файла ActionPhotoset.class.php
фикс шаблона — это как дополнительная мера
0
Тогда от какого шаблона фикс подойдет для Simple?
0
в топике есть ссылка на diff — там все видно
0
Количество пользователей добавивших топик в избранное — супер. Спасибо.
Не всегда можно определить, что и другим интересно. По количеству обсуждений — да.
Но не все ведь коментят. Многие просто читают. А так можно наглядно посмотреть скольким челам кроме тебя интересна та или иная тема.
Своеобразный дополнительный рейтинг тем, идей, постов. Посмотри сколько челов поставили в избранное пост идеи какого-нить плагина
и вперед развивай эту тему.
-2
топик не об этом, здесь не флудим
0
Версию с последним багфиксом (особенно имя файла) может именовать LS 0.5.1.1??? чтобы не возникало путаницы с файлами??
+ выложить дистрибутив в tar-архиве (как родной для linux) а не zip?
-1
дублировать сообщения в моде?
0
А что по шаблону simple? насколько для него актуален этот баг?
0
нашел ответ выше. Извиняюсь.
0
ИМХО, любой релиз должен иметь свой уникальный номер версии. А то потом начинается:
— а какая версия ЛС?
— 0.5.1
— а с багфиксом или без?
— чо? а это чо такое?
— ну там было обновление безопасности — делал?
— а хз, мне програмер ставил
— …
И надо лезть в исходники, искать обновленные файлы, сверять тексты и т.д., и т.п. Куда проще — спросил номер версии, и все сразу понятно.

То же самое и девелоперской версии касается — как только вышел очередной релиз, девелоперской версии в гитхабе сразу же надо присваивать новый номер, чтобы приступая к какому-то сайту сразу видеть — стабильный релиз там стоит или дев.версия.
0
Поддерживаю.
0
поддерживаю и плюс вопрос по теме: а вот эти новшества касательно избранности топика (датчик добавивших в избранное) и новые линии в профайле пользователя, присутствуют в сборке 0,5,1 что сейчас на оф. сайте для скачки достуна?
-2
Нет.
0
Добрый вечер. У меня вопрос такой-как сохранить всю базу. Хочу установить более мощный сервер. Боюсь все потерять.
0
сделать дамб бд и сохранить папку uploads
0
А можно подробней? Что такое дамб и где он? Спасибо.
-1
зойди в Базу-Даных mysql и тама зделай дамб. четай тут.
0
Спасибо большое
0
Те, кто пользуется шаблоном street-spirit посмотрите templates/skin/street-spirit/actions/ActionPhotoset/add.tpl посмотрите 55 строку. Если там
post_params: { 'topic_id':'{$_aRequest.topic_id}' },
надо заменить на
post_params: {json var=$_aRequest.topic_id} }
0
upd: заменить надо на
post_params: { 'topic_id': {json var=$_aRequest.topic_id} }
0
комментарий был удален
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.