Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения только ответов первого уровня		[ Отслеживать ]

Критическая уязвимость в Drupal, opennews (?), 28-Мрт-18, (0) [смотреть все] Это не дыра, это фича , Аноним (-), 23:59 , 28-Мрт-18, (2) +18   // господи друпал это жи грех какой то , Аноним (-), 21:17 , 29-Мрт-18, (34) +1 А патчи в стили PHP, годы идут, ничего не меняется Мы тут ввод подчистим, вмест, Аноним (-), 00:02 , 29-Мрт-18, (3)   // принципиальная дыра - это вообще работать с каким-либо user input В противном с, пох (?), 00:32 , 29-Мрт-18, (4) –1 // Принципиальная дыра - это ожидать, что в user input будет только то, что там дол, YetAnotherOnanym (ok), 18:56 , 29-Мрт-18, (33) // они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, пох (?), 16:16 , 31-Мрт-18, (48) –1 Принципиально дыра в головах Прикрыть будет ооооочень сложно , anomymous (?), 11:55 , 31-Мрт-18, (43) Что, опять , th3m3 (ok), 01:15 , 29-Мрт-18, (5) +3   https www drupal org files issues 2018-03-28 SA-CORE-2018-002 patchдля Drupal6, Sylvia (ok), 07:03 , 29-Мрт-18, (6) +1   // Drupal6 упоминается почему-то только в одной ссылке В двух других только 7 и 8 , dq0s4y71 (ok), 23:16 , 28-Апр-18, (51) Одним словом - пехапе, Аноним (-), 08:05 , 29-Мрт-18, (7) –3   // Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов, IRASoldier (?), 08:21 , 29-Мрт-18, (8) +4 // ну, на самом-то деле, изначальное отсутствие в языке с низким порогом вхождения, Аноним (-), 10:29 , 29-Мрт-18, (11) –1 // В современном PHP все уже есть А в старом коде времен php4, да, я видел парсеры, KonstantinB (ok), 11:18 , 29-Мрт-18, (15) так это одной А полмиллиона других компаний сэкономили на этом по доллару - и в, Аноним (-), 12:30 , 29-Мрт-18, (17) +1 Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП , KonstantinB (ok), 13:04 , 29-Мрт-18, (23) +1 htmlspecialchars, filter_var, Аноне (?), 10:34 , 30-Мрт-18, (40) это слишком низкоуровневые конструкции, и к тому же они by design неверны если , пох (?), 13:45 , 31-Мрт-18, (46) –1 Дырень касается всех или только тех у кого есть какие-то пользователи и они чего, Fy (?), 08:53 , 29-Мрт-18, (9) –1   // если у твоего локалхоста нет пользователей - нет, тебя не касается Особенно есл, ваш К.О. (?), 10:17 , 29-Мрт-18, (10) +2 // Тонко, Солнышко (??), 14:08 , 29-Мрт-18, (26) // Да куда уж тоньше Словно сайты без аунтификации и прочих форм ввода бывают толь, Аноним (-), 16:22 , 30-Мрт-18, (41) Касается всех, даже включение режима обслуживания не спасет Ошибка прямо с бутс, 123 (??), 10:39 , 29-Мрт-18, (12) Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программ, Солнышко (??), 11:12 , 29-Мрт-18, (13) –2   // И безопасность, как видим, тоже Но шкурку натянуть можно, это да , Аноним (-), 12:29 , 29-Мрт-18, (16) +1 // Для бизнеса чаще всего важнее шкурка, а не содержание В таком мире мы живем , Солнышко (??), 12:38 , 29-Мрт-18, (19) –1 // Для бизнеса важны бабки, а как следствие - важно все Просто некоторые осознают , KonstantinB (ok), 13:01 , 29-Мрт-18, (22) +2 или не понесут а при удачном раскладе еще и страховку нехилую получат раскру, ыы (?), 14:05 , 29-Мрт-18, (25) –3 Или продадут успешный стартап, а отдуваться будет подрядчик фирмы, кто его куп, Солнышко (??), 14:08 , 29-Мрт-18, (27) –1 Да вот прямо сейчас последствия работы таких мастеров разгребаю До человека, к , KonstantinB (ok), 15:28 , 29-Мрт-18, (30) +2 Неприятности происходят вне зависимости от того делаете вы что-то или нет с , ыы (?), 16:33 , 29-Мрт-18, (32) –2 Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей, KonstantinB (ok), 23:28 , 29-Мрт-18, (35) +2 Ну чел вообще-то в чём-то прав Вы с ним не согласны , Аноним (-), 00:08 , 30-Мрт-18, (36) –1 Два еврея пришли к раввину, чтобы он разрешил их спор - Ребе, вот я говорю, что , KonstantinB (ok), 05:22 , 31-Мрт-18, (42) Оу шыт Вы посмотрите на этот патч Он выкидывает все параметры GET POST-запросо, KonstantinB (ok), 11:16 , 29-Мрт-18, (14) +2   // Система render array https www drupal org docs 8 api render-api render-arrays, 123 (??), 12:46 , 29-Мрт-18, (20) // Скорее https api drupal org api drupal developer 21topics 21forms_api_referenc, KonstantinB (ok), 12:58 , 29-Мрт-18, (21) Будь мужиком, покажи класс Напиши свой патч, а мы посмотрим, ок , Солнышко (??), 14:09 , 29-Мрт-18, (28) –3 // Там изначальная архитектурная ошибка со смешением данных и колбэков в одном масс, KonstantinB (ok), 15:26 , 29-Мрт-18, (29) +3 // В тот момент эта идея мне показалась привлекательной с анек, ыы (?), 16:27 , 29-Мрт-18, (31) –2 А можно весь анекдот Сходу не нагуглил , Аноним (-), 00:11 , 30-Мрт-18, (37) –1 Так это он весь и есть ыы , Led (ok), 01:21 , 30-Мрт-18, (38) Смешение user input и callbacks в одном массиве OH SHI Закoпать и не откапыват, anomymous (?), 11:58 , 31-Мрт-18, (44) +1 когда мы это писали - классов в php 4 еще не было а им надо было донести до , пох (?), 13:49 , 31-Мрт-18, (47) –1 Да были классы В конце концов, можно было бы просто два разных массива сделать , KonstantinB (ok), 20:27 , 31-Мрт-18, (49) Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома , Аноним (-), 07:43 , 30-Мрт-18, (39) –1   // Он уже миллион лет не на Друпале Это всё реклама , redwolf (ok), 12:45 , 31-Мрт-18, (45) +3 Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют , Robin (?), 11:07 , 28-Мрт-23, (52)   2,3,5,6,7,9,13,14,39,52

Сообщения

[Сортировка по времени | RSS]

2. "Критическая уязвимость в Drupal"	+18 +/–
Сообщение от Аноним (-), 28-Мрт-18, 23:59
Это не дыра, это фича!
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

3. "Критическая уязвимость в Drupal"	+/–
Сообщение от Аноним (-), 29-Мрт-18, 00:02
А патчи в стили PHP, годы идут, ничего не меняется. Мы тут ввод подчистим, вместо, того чтоб принципиально дыру прикрыть.
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

5. "Критическая уязвимость в Drupal"	+3 +/–
Сообщение от th3m3 (ok), 29-Мрт-18, 01:15
Что, опять?
Ответить | Правка | Наверх | Cообщить модератору

6. "Критическая уязвимость в Drupal"	+1 +/–
Сообщение от Sylvia (ok), 29-Мрт-18, 07:03
https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-... для Drupal6
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

7. "Критическая уязвимость в Drupal"	–3 +/–
Сообщение от Аноним (-), 29-Мрт-18, 08:05
Одним словом - пехапе
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

9. "Критическая уязвимость в Drupal"	–1 +/–
Сообщение от Fy (?), 29-Мрт-18, 08:53
Дырень касается всех или только тех у кого есть какие-то пользователи и они чего-то куда-то вводят?
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

13. "Критическая уязвимость в Drupal"	–2 +/–
Сообщение от Солнышко (??), 29-Мрт-18, 11:12
Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программирование, но нужна гибкая настройка сущностей. А шкурку натянуть можно какую хочешь. Скорость правда не ахти, но для корпоратпорталов и не надо.
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

14. "Критическая уязвимость в Drupal"	+2 +/–
Сообщение от KonstantinB (ok), 29-Мрт-18, 11:16
Оу шыт! Вы посмотрите на этот патч. Он выкидывает все параметры GET/POST-запросов и куки, имена которых начинаются с символа "#". Это же что там с ними делается, что у них означает этот маркер, что его использованием можно запустить произвольный код? Eval? Call_user_func? Кому вообще пришло в голову такое сделать? И сколько же таких мест, что вместо того, чтобы их переписать по-человечески, надо делать глобальную фильтрацию? Это не php, это люди, которых нельзя пускать за клавиатуру.
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

39. "Критическая уязвимость в Drupal"	–1 +/–
Сообщение от Аноним (-), 30-Мрт-18, 07:43
Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома?
Ответить | Правка | Наверх | Cообщить модератору

есть ответы, показать

52. "Критическая уязвимость в Drupal"	+/–
Сообщение от Robin (?), 28-Мрт-23, 11:07
Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют человека испытывать любовные надежды  в отношении практически всех встречающихся ему новых лиц. Как вернуть интерес к жизни: 11 шагов
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема