Уязвимость в Kohana?

[zerkms]

Вы уже запостили баг в их трекер?

[Grusho]

Нет пока :)

[tony2001]

так не делают.
каким бы ни был глупым баг, сначала надо отрепортить, а потом писать в твиттер и на хабр.
желательно еще подождать пока его исправят, особенно если баг касается безопасности.

[kuber]

>> желательно еще подождать пока его исправят, особенно если баг касается безопасности.
Не желательно, а обязательно подождать пока его исправят.

[agent_0007]

отличный репорт!

[sdevalex]

Ваш пост похож на хвастовство… «Эй, смотрите, я нашел дыру в Kohana! Ха-ха». Почему нельзя просто исправить и сделать PullRequest?

[4ikist]

Это конечно правильно, но то что этот парень здесь запостил — отдельная благодарность должна быть, нет?

[4ikist]

Не вижу аргументов против, нету?

[vovochka404]

Люди чаще читают хабр, чем багтрекер коханы.

[frig]

Grusho, это познавательно и очень интересно, но лучше спрятать топик до исправления бага.

[IIPu3PAK]

Чтобы исправить надо изменить функцию site
c $path = preg_replace('~([^/]+)~e', 'rawurlencode("$1")', $path);
на $path = preg_replace('~([^/]+)~e', 'rawurlencode(\'$1\')', $path);

[dohlik]

В трекере пока предлагается такое решение: gist.github.com/50a7d11977a17aab2400

[xoma]

Еще в книге «PHP 5» Котеров советовал не использовать «е», а брать вместо него preg_replace_callback…

[dohlik]

С дыркой вроде все ясно. А почему у вас возможны такие значения для param1? Все-таки первичный контроль УРЛы должны проходить еще при обработке роутов, используя заданные регекспы для сегментов адреса.

[Grusho]

Вопрос закономерный. В некоторых ситуациях допускаем такую вольность. Согласен, возможно и зря, но, согласитесь, это не делает эту уязвимость более оправданной.

[delmot]

Вчера поправили — forum.kohanaframework.org/discussion/11050/kohana-v3-2-2-released
Всем обновляться.

[Stepchik]

Подскажите, что это за программка которая сканировала?