Комментарии 26
Молодцы, что заморочились и раскопали. А о каком шаред-хостинге речь? Не рекламы для, интереса ради (можно в личку), как раз сейчас перебираю варианты.
+1
Спасибо за информацию.
+1
Разработчикам уже сообщили?
+8
Тикет у разработчиков уже есть:
trac.roundcube.net/ticket/1489021
trac.roundcube.net/ticket/1489021
0
И коммит с фиксом уже наблюдается: github.com/roundcube/roundcubemail/commit/e1d9b4824c1e5750dfbf51dc1c8b2d54cf0895c3
0
Проверили версию 0.8.4 вот что вывело:
SERVICE CURRENTLY NOT AVAILABLE!
Error No. [501]
SERVICE CURRENTLY NOT AVAILABLE!
Error No. [501]
0
Поправил у себя, спасибо!)
0
А с какой версии ошибка появилась? У меня там такой код:
// save preference value
else if ($RCMAIL->action == 'save-pref') {
$RCMAIL->user->save_prefs(array(get_input_value('_name', RCUBE_INPUT_POST) => get_input_value('_value', RCUBE_INPUT_POST)));
$OUTPUT->reset();
$OUTPUT->send();
}
0
Не проще ли die('oops');?
+2
Версия 0.8.1. Такая же срань.
Заткнул дырку временно…
Спасибо.
Заткнул дырку временно…
Спасибо.
0
Офигеть, даже не проверять ввод юзера… Секьюрные приложения на пхп такие секьюрные.
-7
del (я буду читать пост до конца перед отправкой комментария)
-1
Из твиттера:
We just published new releases which fix a recently reported vulnerability that allows an attacker to access files on the server. Please update your installations with the new versions or patch them with the fix which is also published in the downloads section or our sourceforge.net page.
We just published new releases which fix a recently reported vulnerability that allows an attacker to access files on the server. Please update your installations with the new versions or patch them with the fix which is also published in the downloads section or our sourceforge.net page.
0
Выпустили апдейт 0.8.6
официальная новость и патчи для других версий тут sourceforge.net/news/?group_id=139281&id=310497
(думаю автору хорошо было бы добавить к статье)
официальная новость и патчи для других версий тут sourceforge.net/news/?group_id=139281&id=310497
(думаю автору хорошо было бы добавить к статье)
+1
Спасибо! Обновляюсь до 0.8.6. Баг в гентушной багзилле: bugs.gentoo.org/show_bug.cgi?id=463554
0
Браво! Последнее время редко встречаю сообщения о таких дырках.
0
Блин, ну молодцы же! Раскопали, поделились…
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Уязвимость нулевого дня в roundcube