Коллеги, всем привет. Я заранее миллион раз извиняюсь если это может выглядеть как реклама, но стараюсь максимально сделать это непривязано к нашей компании.

Вчера обнаружилась очень серьезная уязвимость в библиотеке обработки изображений - ImageMagick. Эта уязвимость при стечении некоторых обстоятельств (которые стекаются, по нашим данным в 2 из 10 случаях использования) приводит к получению прямого доступа на сервер под веб-пользователем - к консоли сервера. Это дает прямой и очень простой доступ к коду, к базе данных.

Что хуже всего - уязвимость можно использовать очень просто, уже существуют действующие эксплоиты, они очень простые. Что хорошо - исправление тривиальная задача.

Мы у себя в блоге написали сначала нетехническим языком а потом для технических специалистов как проблему можно исправить, написали так, что может сделать любой разработчик/админ с навыками работы в shell-е сервера. Вполне вероятно что ImageMagick не используется, однако обязательно стоит это перепроверить.

Пожалуйста, обратите внимание технических специалистов на это, исправить можно это просто и очень быстро, главное не лениться.

Внешняя ссылка: itsumma.ru

Открыть данное сообщение в группе "ИМ диспуты" в Facebook

Автор: Eugene Potapov
9 декабря / Комментарии

Друзья, спасибо за фидбек по поводу битрикс&маджента. Не ожидал, что получу так много интересной инфы. (Кстати отдельное спасибо Владислав Кулагин, что порекомендовал мне эту группу. Вопрос номер 2. Подскажите компании, специализирующиеся на Битрикс e-commers, которые помогут не только сделать сайт , синхронизировать его с 1с и срм, но и помогут донастроить модель и бизнес-процессы.

далее →

8 декабря / Комментарии

#ПЭК Я все не перестаю удивляться сервису и оперативности работы логистической компании, считающей себя КРУПНЕЙШЕЙ на рынке сборных грузов:) Запросила СКАН накладной с терминала о получении 05.12.2016. Сегодня, 08.12.16 наконец-то пришел ответ: "Изготовление копий документов на подготовке.

далее →

8 декабря / Комментарии

Добрый день. Пользуемся сервисом sms.ru для оповещений клиентов по заказам. Но они просто нереальные деньги какие-то списывают. В среднем 4.8 за сообщение, состоящее из 3х смс-ок. Подскажите, пожалуйста, хороший сервис в соотношении цена-качество. Заранее благодарна :)

далее →

8 декабря / Комментарии

Нужна помощь тех, у кого верхнее образование из головы еще не выветрилось и оно не из факультета менеджмент и финансы, а что-нибудь более толковое в плане математики :) У меня есть некоторое количество данных по исполненным заказам. В заказах по нескольку товаров, у каждого товара есть габариты.

далее →

8 декабря / Комментарии

Есть мнение что продвигаться в соц. медиа правильнее и проще заводя коммерческие аккаунты от частных лиц. Есть ли какие-либо ограничения на этот счет? Интересуют ФБ, ВК и Инста. Можно ли, а главное есть ли смысл заводить коммерческие группы от частных лиц (частные аккаунты)

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook