Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Анимированные картинки и уязвимости DLE

Анимированные картинки и уязвимости DLE


     23.01.2013    анимация, запрет, патч, dle 9.6, уязвимости    Все вопросы » Общие вопросы    5045

вопрос
Патч для dle 9.7 запрещает добавлять анимированные картинки в новости, мне интересно, а если движок 9.6 - анимацию добавлять можно, значит уязвимость остаётся?
И вообще кто-нибудь в курсе проблема с анимацией будет решена? Webdiscover.ru сделан на dle и работает без проблем, гифки можно добавлять

Ответа пока нет


12 комментариев

region029
Юзер

region029 - 24 января 2013 08:23 -

У меня получилось анимированный аватар залить на этот сайт. Пафнутий не поставил патч или нашёл какое-то другое решение?

ПафНутиЙ
Админ

ПафНутиЙ - 24 января 2013 10:05 -

Если мне кто-то скажет как происходит взлом сайта через анимированный аватар - буду вносить необходимые правки.

Каков вопрос - таков и ответ. Просто помните об этом.

nowheremany
Эксперт

nowheremany - 24 января 2013 11:12 -

все это бред.
просто у gif картинки изменять размер накладно для сервера, вот и придумал объяснение.

Благодарность принимаю тут Связь

Бахмут
Юзер

Бахмут - 24 января 2013 14:17 -

За длешку не знаю, а вот мой форум IPB Board ломали подобным образом. Был залит аватар с названием 128.gif. Сама картинка не воспроизводилась, потому как правильное ее название должно быть - 128.php, а гифку использовали только для того, что б залить на сервер код php, просто переименованный. Этим аватаром (вернее php-кодом) каким-то образом по серверу раскидались всякие "нехорошие" скрипты и тд. В общем, вышло исправление форума, заменил пару файликов и устранил уязвимость. Аватары-анимашки остались и нормально работают, исправление не дает теперь залить вместо аватара подобную хрень. Видимо, что-то действительно есть, только на офсайте дле не захотели париться с этой проблемой и решать ее, как сделали на IPB Board, а просто удалили функцию загрузки анимированных гифок.
Как мне кажется, с выходом очередной версии длешки, 9.9 или 10 (хз какая там будет), эту функцию исправят, удалят уязвимость и вернут. Видимо сейчас, перед выходом новой версии, которая уже находится в тестировании и предрелизной подготовке, просто не захотели париться.

Kickman
Юзер

Kickman - 24 января 2013 18:54 -


region029
Юзер

region029 - 24 января 2013 20:08 -

Цитата: nowheremany
все это бред....вот и придумал объяснение.

Я вас не понял, что бред?

shadow6630
Юзер

shadow6630 - 24 января 2013 20:36 -

Обсуждалось на провеббере: бот регался на сайте и используя гифку подсовывал через нее вредносный код, а дальше дело техники, в общем проверяйте есть ли у вас пользователь с ником tehapocalypse )

hatchees
Юзер

hatchees - 24 января 2013 21:48 -

Лол, а что нельзя проверить картинка ли это или нет? напримере функция getimagessize



list($width, $height) = getimagesize($image);

if (empty($width) or empty($height) {
echo "это не картинка";
unset($image);
}

hatchees
Юзер

hatchees - 24 января 2013 21:53 -

*забыл скобку заркыть
if (empty($width) or empty($height)) {

nowheremany
Эксперт

nowheremany - 25 января 2013 09:33 -

Я бы посоветовал выложить такую картинку с php кодом, для анализа. Толку то защищать от того чего не видишь.

PS Да и вообще с какого перепуга настроено выполнение gif файлов как php сущности? это недонастройка сайта

Благодарность принимаю тут Связь

kricha
Юзер

kricha - 26 марта 2014 01:27 -

это неправильная настройка сервера.

DrajE
Юзер

DrajE - 11 февраля 2013 17:15 -

Пострадало у меня от это херни 2 сайта.
Вовремя не сделанный дамп добавил много гемороя.

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх