Коллеги, всем привет. Я заранее миллион раз извиняюсь если это может выглядеть как реклама, но стараюсь максимально сделать это непривязано к нашей компании.

Вчера обнаружилась очень серьезная уязвимость в библиотеке обработки изображений - ImageMagick. Эта уязвимость при стечении некоторых обстоятельств (которые стекаются, по нашим данным в 2 из 10 случаях использования) приводит к получению прямого доступа на сервер под веб-пользователем - к консоли сервера. Это дает прямой и очень простой доступ к коду, к базе данных.

Что хуже всего - уязвимость можно использовать очень просто, уже существуют действующие эксплоиты, они очень простые. Что хорошо - исправление тривиальная задача.

Мы у себя в блоге написали сначала нетехническим языком а потом для технических специалистов как проблему можно исправить, написали так, что может сделать любой разработчик/админ с навыками работы в shell-е сервера. Вполне вероятно что ImageMagick не используется, однако обязательно стоит это перепроверить.

Пожалуйста, обратите внимание технических специалистов на это, исправить можно это просто и очень быстро, главное не лениться.

Внешняя ссылка: itsumma.ru

Открыть данное сообщение в группе "ИМ диспуты" в Facebook

Автор: Eugene Potapov
14 декабря / Комментарии

Коллеги, порекомендуйте специалиста по юзабилити, буду признателен.

далее →

14 декабря / Комментарии

Уважаемые, накидайте список ИМ известных торговых брендов которые в предверии НГ делают скидки но по сути обманывают своих покупателей. Готовим совместно с Москва 24 спец репортаж. Спасибо.

далее →

14 декабря / Комментарии

Коллеги, вопрос к тем, кто импортирует товар из Китая официально, с контрактом, паспортом сделки, растаможкой и т.д. Если вас "кинул" китайский / гонконгский поставщик - деньги получил, а товар не отправляет, существую какие-то реально действующие способы воздействия на поставщика ?

далее →

13 декабря / Комментарии

Привет! Вроде уже спрашивали, но не могу найти. Есть какое-то готовое решение по мониторингу правильности email адреса покупателя? Что-то вроде скрипта, который мониторит входящую почту на предмет "Undelivered Mail Returned to Sender" и помечает в бд соответствующий email как неправильный.

далее →

13 декабря / Комментарии

Добрый день всем! Кто знает что нибудь по сервису Точка.ру. Звонят, говорят что мы по типу Яндекс.Маркета. Участие бесплатное. В январе якобы погонят рекламу по ТВ.

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook