Коллеги, всем привет. Я заранее миллион раз извиняюсь если это может выглядеть как реклама, но стараюсь максимально сделать это непривязано к нашей компании.

Вчера обнаружилась очень серьезная уязвимость в библиотеке обработки изображений - ImageMagick. Эта уязвимость при стечении некоторых обстоятельств (которые стекаются, по нашим данным в 2 из 10 случаях использования) приводит к получению прямого доступа на сервер под веб-пользователем - к консоли сервера. Это дает прямой и очень простой доступ к коду, к базе данных.

Что хуже всего - уязвимость можно использовать очень просто, уже существуют действующие эксплоиты, они очень простые. Что хорошо - исправление тривиальная задача.

Мы у себя в блоге написали сначала нетехническим языком а потом для технических специалистов как проблему можно исправить, написали так, что может сделать любой разработчик/админ с навыками работы в shell-е сервера. Вполне вероятно что ImageMagick не используется, однако обязательно стоит это перепроверить.

Пожалуйста, обратите внимание технических специалистов на это, исправить можно это просто и очень быстро, главное не лениться.

Внешняя ссылка: itsumma.ru

Открыть данное сообщение в группе "ИМ диспуты" в Facebook

Автор: Eugene Potapov
21 февраля / Комментарии

Год назад у нас появилась мобильная версия сайта и вот статистика посещений по устройствам. Не верил, но факт на лицо, как говорится. Наверное скоро мобильное приложение сделаем. Деньги зажимаю!

далее →

20 февраля / Комментарии

Все тут вопросы задают, я поделюсь технологией, которая упростила мне работу и накину немного на вентилятор коллтрекингов. Начнем с того, что коллтрекинг для федеральных магазинов стоит дорого, при условии что вы используете 8800 номер. И хочется работать с атрибуцией.

далее →

20 февраля / Комментарии

Коллеги привет! Посоветуйте пожалуйста разработчиков ИМ. Важно, чтобы это была компания и наличие действующего портфолио. Спасибо!

далее →

20 февраля / Комментарии

Ребят, как считаете, если клиент отписывается от рассылки, то его надо надо отписывать от всех вообще рассылок или только от рассылок конкретного типа? Скажем, отписался он от рассылки по брошенной корзине – от каких рассылок его надо отписать?

далее →

20 февраля / Комментарии

Слезы и боль е-коммерс проектов — менеджеры не умеют продавать, не обрабатывают возражения или просто сливают заявки. Служба контроля качества — это рентген отдела продаж интернет-магазина. Коллеги из компании Shogo - digital branding & e-commerce хотят рассказать нам о новой услуге, которая выросла из их опыта ведения собственного проекта Втапках.

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook