Коллеги, всем привет. Я заранее миллион раз извиняюсь если это может выглядеть как реклама, но стараюсь максимально сделать это непривязано к нашей компании.

Вчера обнаружилась очень серьезная уязвимость в библиотеке обработки изображений - ImageMagick. Эта уязвимость при стечении некоторых обстоятельств (которые стекаются, по нашим данным в 2 из 10 случаях использования) приводит к получению прямого доступа на сервер под веб-пользователем - к консоли сервера. Это дает прямой и очень простой доступ к коду, к базе данных.

Что хуже всего - уязвимость можно использовать очень просто, уже существуют действующие эксплоиты, они очень простые. Что хорошо - исправление тривиальная задача.

Мы у себя в блоге написали сначала нетехническим языком а потом для технических специалистов как проблему можно исправить, написали так, что может сделать любой разработчик/админ с навыками работы в shell-е сервера. Вполне вероятно что ImageMagick не используется, однако обязательно стоит это перепроверить.

Пожалуйста, обратите внимание технических специалистов на это, исправить можно это просто и очень быстро, главное не лениться.

Внешняя ссылка: itsumma.ru

Открыть данное сообщение в группе "ИМ диспуты" в Facebook

Автор: Eugene Potapov
4 апреля / Комментарии

Коллеги, привет! Порекомендуйте плз хорошую и недорогую компанию-разработчиков 1с. Требуется настроить всю товарную инфраструктуру 1с и интеграцию с интернет-магазином на битриксе. Сейчас ситуация такая: вся товарка первична на сайте, заносилась она разными способами и парсерами и вручную, т.

далее →

4 апреля / Комментарии

Добрый день. Ищу ответственное хранение + набор заказов + отгрузку в СДЭК. По результатам ответов на емейл получилась вот такая табличка. Пока получается, что по ценам и услугам я могу попробовать поработать только с ritm-z. Подскажите, пожалуйста, кого из операторов фулфилмента забыл?

далее →

4 апреля / Комментарии

Думаю многие из Вас слышали о реалити-шоу "Реанимация интернет-магазина" , где в режиме реального времени увеличили продажи печального магазина в 6 раз! Круто? Вот и я так думаю! Мы следили за проектом с самого его старта и продолжим следить дальше. Было проведено 17 уроков, и те из вас, кто присутствовал на них убедились в их пользе.

далее →

4 апреля / Комментарии

Коллеги, у нас есть необходимость проводить периодические проверки call-центра с помощью тайных покупателей. Посоветуйте пожалуйста, компанию, которая может проводить такие аудиты для малого бизнеса? то есть нужны крутые, гибкие и клиентоориентированные ребята:)) Есть же такие?

далее →

4 апреля / Комментарии

Поделитесь пожалуйста - какой телефонией пользуетесь для ИМ и довольны (кроме манго-оч дорого), чтоб с записью разговоров, чтоб связь надежная была и не золотая, и,может, кто знает - как называется сервис- когда клиент звонит- его номер можно сразу "взять на карандаш" и потом когда он снова звонит- он переключается сразу на "своего менеджера"?

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook