Фикс безопасности в LiveStreet 0.5.1

Блог разработки LiveStreet
Новый Год не всегда приносит радостные эмоции и отличные подарки, иногда сюрпризы более мрачные.
В LiveStreet 0.5.1 в фото-сетах обнаружена XSS уязвимость.

Патч, исправляющий баг, здесь — github.com/livestreet/livestreet/commit/c5b8e20d0ec380c2f2222fa266261d22dc36f926
Либо можно просто повторно скачать архив с LS от сюда — livestreetcms.com/download/ (архив обновлен)

Настоятельно рекомендуем требуем выполнить обновление.

39 комментариев

avatar
Самое простое решение — удалить ActionPhotoset?
Если не используешь в смысле.
avatar
Можно подробнее, я как раз не планирую использовать фотосет на своем проекте, чтобы его запретить, достаточно закоментарить строку в конфиге?
//$config['router']['page']['photoset']        = 'ActionPhotoset';


А как убрать ссылку на создание фотосета при добавлении материала? Просто править шаблон, или можно как-то на более высоком уровне запретить и убрать из списка?
avatar
Спасибо. Уже обновляемся.

Также спасибо за небольшое нововведение в виде количества пользователей добавивших топик в избранное. Сори за офтоп, просто мне не целесообразно создавать ради этого отдельный топик.
avatar
пока это не похоже на нововведение, скорее на высветившийся баг :)
avatar
а вот теперь похоже :)
avatar
Сильно не пинайте, но для «не продвинутых» пользователей:

1 Достаточно ли будет заменить файлы на сервере на новые из установки LS (и не стоит ли сделать отдельный архивчик для замены нужных файлов как поступают в друхих CMS)?
2 Как применить Патч, чтобы не открывать ручками и не заменять построчно?
avatar
Лично я просто полностью скачал и заменил файл ActionPhotoset.class.php и вручную исправил строку в теме, поскольку использую нестандартную.
avatar
Да я тоже заменил файлами. И я имел в виду естественно стандартные темы.
avatar
В чём проблема оборачивать все $_REQUEST и получать данные из глобальных функций, как это сделано в «продвинутых» CMF?
avatar
реквест и так экранируется, но здесь немного другая специфика бага
avatar
Я вижу 
is_numeric
сути это не меняет. Опять же пропускать через функцию, я думаю много где нужно фильтровать только цифры.
avatar
не то видишь, вот github.com/livestreet/livestreet/blob/master/engine/modules/viewer/Viewer.class.php#L249
avatar
htmlspecialchars это совсем не is_numeric =\
Короче проехали. Надеюсь ты понял что я имел ввиду.
avatar
я вот тоже не могу понять что вы ищете?
приведение типов?
avatar
Я пишу о штатных функциях фильтрования переменных и использования их.
avatar
такие есть, кстати.
avatar
интересно, вы перед написание поинтересовались существованием «глобальных функций» в этой КМС?
avatar
Скажите этот фикс обязателен в том числе и для шаблона Simple?
avatar
для всех, но можно и ограничиться только фиксом файла ActionPhotoset.class.php
фикс шаблона — это как дополнительная мера
avatar
Тогда от какого шаблона фикс подойдет для Simple?
avatar
в топике есть ссылка на diff — там все видно
avatar
Количество пользователей добавивших топик в избранное — супер. Спасибо.
Не всегда можно определить, что и другим интересно. По количеству обсуждений — да.
Но не все ведь коментят. Многие просто читают. А так можно наглядно посмотреть скольким челам кроме тебя интересна та или иная тема.
Своеобразный дополнительный рейтинг тем, идей, постов. Посмотри сколько челов поставили в избранное пост идеи какого-нить плагина
и вперед развивай эту тему.
avatar
топик не об этом, здесь не флудим
avatar
Версию с последним багфиксом (особенно имя файла) может именовать LS 0.5.1.1??? чтобы не возникало путаницы с файлами??
+ выложить дистрибутив в tar-архиве (как родной для linux) а не zip?
avatar
дублировать сообщения в моде?
avatar
А что по шаблону simple? насколько для него актуален этот баг?
avatar
нашел ответ выше. Извиняюсь.
avatar
ИМХО, любой релиз должен иметь свой уникальный номер версии. А то потом начинается:
— а какая версия ЛС?
— 0.5.1
— а с багфиксом или без?
— чо? а это чо такое?
— ну там было обновление безопасности — делал?
— а хз, мне програмер ставил
— …
И надо лезть в исходники, искать обновленные файлы, сверять тексты и т.д., и т.п. Куда проще — спросил номер версии, и все сразу понятно.

То же самое и девелоперской версии касается — как только вышел очередной релиз, девелоперской версии в гитхабе сразу же надо присваивать новый номер, чтобы приступая к какому-то сайту сразу видеть — стабильный релиз там стоит или дев.версия.
avatar
Поддерживаю.
avatar
поддерживаю и плюс вопрос по теме: а вот эти новшества касательно избранности топика (датчик добавивших в избранное) и новые линии в профайле пользователя, присутствуют в сборке 0,5,1 что сейчас на оф. сайте для скачки достуна?
avatar
Нет.
avatar
Добрый вечер. У меня вопрос такой-как сохранить всю базу. Хочу установить более мощный сервер. Боюсь все потерять.
avatar
сделать дамб бд и сохранить папку uploads
avatar
А можно подробней? Что такое дамб и где он? Спасибо.
avatar
зойди в Базу-Даных mysql и тама зделай дамб. четай тут.
avatar
Спасибо большое
avatar
Те, кто пользуется шаблоном street-spirit посмотрите templates/skin/street-spirit/actions/ActionPhotoset/add.tpl посмотрите 55 строку. Если там
post_params: { 'topic_id':'{$_aRequest.topic_id}' },
надо заменить на
post_params: {json var=$_aRequest.topic_id} }
avatar
upd: заменить надо на
post_params: { 'topic_id': {json var=$_aRequest.topic_id} }
комментарий был удален
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.