Коллеги, всем привет. Я заранее миллион раз извиняюсь если это может выглядеть как реклама, но стараюсь максимально сделать это непривязано к нашей компании.

Вчера обнаружилась очень серьезная уязвимость в библиотеке обработки изображений - ImageMagick. Эта уязвимость при стечении некоторых обстоятельств (которые стекаются, по нашим данным в 2 из 10 случаях использования) приводит к получению прямого доступа на сервер под веб-пользователем - к консоли сервера. Это дает прямой и очень простой доступ к коду, к базе данных.

Что хуже всего - уязвимость можно использовать очень просто, уже существуют действующие эксплоиты, они очень простые. Что хорошо - исправление тривиальная задача.

Мы у себя в блоге написали сначала нетехническим языком а потом для технических специалистов как проблему можно исправить, написали так, что может сделать любой разработчик/админ с навыками работы в shell-е сервера. Вполне вероятно что ImageMagick не используется, однако обязательно стоит это перепроверить.

Пожалуйста, обратите внимание технических специалистов на это, исправить можно это просто и очень быстро, главное не лениться.

Внешняя ссылка: itsumma.ru

Открыть данное сообщение в группе "ИМ диспуты" в Facebook

Автор: Eugene Potapov
8 августа / Комментарии

Привет, коллеги! Управление текущими задачами. От мелкой операционки и регулярных (типа, "не забыть оплатить хостинг") для одного человека до средних проектов внутри компании с несколькими участниками и сроками реализации до нескольких месяцев. Какая программа?

далее →

8 августа / Комментарии

Привет, коллеги! А есть какие-то живые группы в ФБ, где продают/покупают интернет-магазины?

далее →

8 августа / Комментарии

Хотелось бы задать вопрос уважаемому СДЭК - Жизнь в стиле Экспресс, а в чем профит работы с вами по договору? Если минимальная стоимость доставки и одного города в другой разная по договору и через ваш проект посылочка в частности Оренбург Новосибирск по договору - 610 р посылока - 300р.

далее →

8 августа / Комментарии

Коллеги, а я опять с запросом рекомендаций: порекомендуйте плиз сервисы для массовой дистрибуции оплат фрилансерам.

далее →

8 августа / Комментарии

- а вы там, крутите директы, и сео своим занимайтесь Интересно яндекс.телефония тоже так будет поступать? - Прежде чем мы вас соединим с абонентом который арендовал у нас номер телефона, прослушайте нашу рекламу...

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook