Коллеги, всем привет. Я заранее миллион раз извиняюсь если это может выглядеть как реклама, но стараюсь максимально сделать это непривязано к нашей компании.

Вчера обнаружилась очень серьезная уязвимость в библиотеке обработки изображений - ImageMagick. Эта уязвимость при стечении некоторых обстоятельств (которые стекаются, по нашим данным в 2 из 10 случаях использования) приводит к получению прямого доступа на сервер под веб-пользователем - к консоли сервера. Это дает прямой и очень простой доступ к коду, к базе данных.

Что хуже всего - уязвимость можно использовать очень просто, уже существуют действующие эксплоиты, они очень простые. Что хорошо - исправление тривиальная задача.

Мы у себя в блоге написали сначала нетехническим языком а потом для технических специалистов как проблему можно исправить, написали так, что может сделать любой разработчик/админ с навыками работы в shell-е сервера. Вполне вероятно что ImageMagick не используется, однако обязательно стоит это перепроверить.

Пожалуйста, обратите внимание технических специалистов на это, исправить можно это просто и очень быстро, главное не лениться.

Внешняя ссылка: itsumma.ru

Открыть данное сообщение в группе "ИМ диспуты" в Facebook

Автор: Eugene Potapov
26 сентября / Комментарии

Вопрос по доставке. Расскажите, кто из доставщиков позволяет менять получателя? Задача: нужно отправлять от Z на Х ( Y ) (грубо говоря, чтобы отправитель груза Z не знал кто будет фактическим получателем), а потом нужна возможность онлайн получателю менять получателя с X на Y.

далее →

25 сентября / Комментарии

Коллеги, есть ли у вас или ваших знакомых потребность в профессиональном запуске e-mail канала с бюджетом на запуск ~40К и бюджетом на поддержание ~40К в месяц? То есть вопрос в том, на сколько может быть востребована данная услуга? Под запуском понимается: Стратегия, выбор платформы, макет для регулярных рассылок, настройка триггерных, расчёт окупаемости.

далее →

25 сентября / Комментарии

Требуется админ проекта (сайта), тематика люстры и свет. Ведение сайта, ассортимента, ведение рекламы, продажи, сео. Сайт готов. ЗП обсуждается. Возможна удаленка. Может подскажите таких специалистов?

далее →

25 сентября / Комментарии

Опять #cdek #сдэк Кто с ними работает? Весь день API лежит. По телефона и в тикетах молчат. Менеджер тоже ничего ответить не может... Ни писем, не инфы. Что случилось, когда вылечат?

далее →

25 сентября / Комментарии

Коллеги, добрый день! Может кто-то подсказать по опыту сотрудничества beget.com, услуги хостинга. Сейчас хостинг на руцентре. Причины для перехода есть и рекомендовали beget. Сайт с текущей посещаемостью ~1000 чел/день. В принципе, осталось только dns поменять, сайт на новом хостинге уже развернут.

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook