Коллеги, всем привет. Я заранее миллион раз извиняюсь если это может выглядеть как реклама, но стараюсь максимально сделать это непривязано к нашей компании.

Вчера обнаружилась очень серьезная уязвимость в библиотеке обработки изображений - ImageMagick. Эта уязвимость при стечении некоторых обстоятельств (которые стекаются, по нашим данным в 2 из 10 случаях использования) приводит к получению прямого доступа на сервер под веб-пользователем - к консоли сервера. Это дает прямой и очень простой доступ к коду, к базе данных.

Что хуже всего - уязвимость можно использовать очень просто, уже существуют действующие эксплоиты, они очень простые. Что хорошо - исправление тривиальная задача.

Мы у себя в блоге написали сначала нетехническим языком а потом для технических специалистов как проблему можно исправить, написали так, что может сделать любой разработчик/админ с навыками работы в shell-е сервера. Вполне вероятно что ImageMagick не используется, однако обязательно стоит это перепроверить.

Пожалуйста, обратите внимание технических специалистов на это, исправить можно это просто и очень быстро, главное не лениться.

Внешняя ссылка: itsumma.ru

Открыть данное сообщение в группе "ИМ диспуты" в Facebook

Автор: Eugene Potapov
21 января / Комментарии

А кто-нибудь сталкивался с таким? В чем развод? В январе в онлайн-консультант ежедневно начали сыпаться такие сообщения с просьбой перезвонить. После сообщения человек тут же уходит из чата. Звонить никому не стали, т.к. заказов необработанных не было и айпишники не соответствуют региону номеров.

далее →

21 января / Комментарии

Вопрос по PayPal. Оформлять на фирму или лучше на физика? Смысл сего действия выйти за бугорье. По России работаем в белую. Поделитесь реальным опытом у кого есть. Пожалуйста! )

далее →

21 января / Комментарии

Все уже получили письмо счастья от гугла насчёт ваших "опасных" страниц, если там пароль спрашивается, но нет https?

далее →

21 января / Комментарии

Есть ли какие-то решения для удобного перевода аудио файла в текст? Конкретно нужно это для анализа разговоров клиентов, очень много времени занимает в звуке. Идеально - давать программе пачку записей, на выходе получать текстовые доки. Пусть с искажениями, но что бы суть была ясна.

далее →

21 января / Комментарии

Озон вернулся на маркет по СРC. Кто знает, это с ним какие-то индивидуальные условия заключили или он вернулся только в те категории, где есть СРC?

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook