Заплатка для версий 1.0.12 - 1.2RC1 (1.2-d8.1.5)

Очень рекомендую всем установить данный фикс. Актуально для версии 1.0.12 — 1.2RC1 (1.2-d8.1.5) как офф версии так и сборки.
Устанавливаем через репозиторий в разделе CORE(Security-FIX) или заливаем поверх файлы скачав с GitHub( github.com/extras-evolution/security-fix )

47 комментариев

avatar
Наконец то поправили одну из двух многолетних баг protect.inc.php)))

Кстати, разработчики собираются обновлять информацию тут? А то дырки в других CMS считают в том числе и по компонентам, а по modx только в ядрышке? Или так и будут людей обманывать?
Комментарий отредактирован 2016-11-11 15:10:52 пользователем Agel_Nash
avatar
Ответ ты сам знаешь, а Evo им уже вообще побоку (:
avatar
А расскажи про что ты?
avatar
Про возможность внедрить modx теги и выполнить произвольный сниппет.
avatar
Если вы знали об этом 2 года, почему только сейчас появился этот комментарий?
avatar
Потому как разработчики не реагировали на сообщения безопасности и я с этим уже свыкся. А потом меня MODX перестал интересовать так, чтобы бегать как обезьяна с гранатой и доказывать кому-то степень критичности.
avatar
Странные они…
avatar
А вторая бага какая? её бы тоже поправить.
avatar
При установке из репозитария на версии 1.0.13RC-d6.5 выдает " Notice: Use of undefined constant E_DEPRECATED — assumed 'E_DEPRECATED' in /home/мойсайт/manager/includes/protect.inc.php on line 6 ".
  • Leon
  • 0
avatar
В версии за 28 октября на modx.com.ua, уже есть этот фикс?
avatar
Нет, там еще нет.
Есть на гитхабе.
К понедельнику будет новый релиз.
avatar
Дмитрий, просьба сказать — в «заплатке» есть фикс для uploadify. С этой заплаткой уязвимость ЭвоГаллери устранена?
avatar
есть, специально оставлял.
avatar
Сарказм понимаю, я нечетко выразил вопрос.

Я имел в виду вот что — помимо uploadify, там ведь могут быть ещё слабые места, дополнение-то старое. Уже какие-то заплатки были и раньше.

Поэтому, как вы считаете, ЭвоГаллери с заплаткой допустимо оставить на сайте или же всё-таки необходимо переделывать на новую галерею, скажем на SimpleGallery?
avatar
Переименовать папку с модулем и сниппеты, чтобы озадачить злодеев (:
avatar
Вообще нахрен стереть код из сниппетов и модуля. И написать внутри них стихотворение, чтобы озадачить заодно и заказчиков :D
avatar
В evoGallery заплатка в том что там есть php файлик с примером работы его забыли удалить
потому заменяется банально на файлик с die();

Единственный минус на EvoGallery это то что он работает на flash. и переделывать его на html5 явно никто не будет ибо есть SimpleGallery )
avatar
Ну понял, ладно, оставлю ЭвоГаллери пока. Мне дали сайт на обновление и устранение «опасных» мест. Там есть ЭвоГаллери, и сам сайт очень старый.

Если переделывать — то это достаточно много работы. Пока оставлю, а там пообщаюсь с заказчиком — готов ли платить немного дополнительно.
avatar
если адрес папки manager изменен, то фикс все равно ставится в /manager/
avatar
Да, ибо экстрасс не научили с папкой изменненной работать
avatar
Видимо, не прокатило…
На одном из сайтов 16 числа завелось нечто…
Версия была 1.1, фиксы загрузил 11 числа

UPD: в папке с картинками 11.11 завелся php-файл с таким содержимым:
pastebin.com/tWG5Y6J4

Также 11 числа судя по метрике сайты шерстились каким-то неизвестным пауком.

Фикс пошел заливать как только увидел запись, тоже 11 числа. Видимо, просто не успел до того момента, как было потыкано.
Комментарий отредактирован 2016-11-18 09:01:57 пользователем alexbeep
avatar
А Extras сейчас как? Не открывается
avatar
А отваливание TinyMCE это по плану? На 2х сайтах применил фикс на обоих TinyMCE перестал работать.
avatar
А вы уверены, что TinyMce из-за этого «отваливается»? Я у себя пофиксил сайты — нигде не отвалился.

Правда, я применял только одну правку из фикса — вот эту.

Но другая правка из фикса TinyMce никак не касается.
Комментарий отредактирован 2016-11-23 16:42:39 пользователем Aharito
avatar
Совпадение? Что то не верится. Я полный патч через стор поставил.
avatar
А версия MODx какая? у меня единственный раз было, что TinyMCE сломался, когда при обновлении версии, что ли (не помню точно) в Плагинах присоседились сразу два MCE, 3-й и 4-й. У вас такого нет?
avatar
Такого нет

avatar
У вас 3-я версия редактора. А MODx какая? и вообще, на время откатите фикс, да и увидите — из-за него или нет.
avatar
И что пишет console?
avatar
Фикс ну никак не может пофлияет там не те файлы затрагивает.


А вот при обновлении бывают вопросы когда несколько версий tinyMCE или когда залипает кеш браузера.
avatar
Снес поставил заработало. А вот CodeMirror эта операция не помогла. Ошибок нет ни в логах ни в console
avatar
По части коде миррора думаю это поможет:
Не, я вчера разобрался. Это один из уникальных хостеров, где нужно прописывать права каждой папке, уроды блин. Прописал для плагина, все ок стало.
avatar
не замечал такого на beget
avatar
Ух нашел куда вирус прячется может еще кому пригодиться:
take.ms/ffKnS
take.ms/Ds6co
take.ms/YOboh
take.ms/VH7D1

Ибо Ai-bolit его там не видит а если такое есть то ставь заплатки не ставь не спасет. Нашел через:
gist.github.com/Deesen/be019ffe9e5cbdbf30810dbae7025c44
Комментарий отредактирован 2016-11-24 12:04:37 пользователем Dmi3yy
avatar
Да, задвоенные плагины, не только этот, любой произвольный. И смотреть только через базу. Но вот как он туда прописался…
avatar
Они видны в «показать все»
avatar
Именно там и сидит!
Сам eval у меня был виден в siteCache.idx.php.
А как прописался — это, действительно, вопрос.
avatar
Тоже такое заметил modx.im/blog/security/4826.html

его еще не видно в админке
avatar
Интересно, стал копаться у себя в таблице плагинов и нашел такое:
http://take.ms/d9cCs
Типа в описании яваскрипт, который скрывает этот шелл в списке плагинов админке.
avatar
Нашла на одном сайте такой же дублирующий плагин NotifyNewUser с кодом base64.
Клиент говорил, что заражениям предшествовали массовые регистрации фейковых web-пользователей на сайте. Интересна статистика, все ли зараженные сайты использовали регистрацию веб-пользователей?
avatar
нет. не все. у меня точно не было. они лезут скорее всего через еформ, дитто, шопкипер.
avatar
Снова взломали. После прошлого взлома почистил, поставил фикс. Удалил левый плагин.
Сейчас плагины проверил в базе, ничего не нашел.
В файле siteCache.idx после
/*  end plugin code  */

начинается
eval(base64_decode("QGVycm9yX3JlcG9yd.......

Откуда берется не понимаю.
  • Shin
  • 0
avatar
кеш сбрасывали и всё равно есть этот код в siteCache.idx?
avatar
Да. Даже после удаления файла создается такой же.
avatar
Нашел. В плагин ManagerManager дописали код.
avatar
Заметил еще такую странность. В логе событий пишет
Error : require_once(/var/www/[...]/manager/includes/crypt.class.inc.php): failed to open stream: No such file or directory

хотя такой файл есть. Обновляю файл — ошибка пропадает.
  • Shin
  • 0
avatar
после фикса сайт белый-белый (то есть совсем, пусто). в логах пусто, кроме вот этого
<...>/404-oshibka
как откатить FIX, если недоступна админка?
версия 1.0-8.0 Evo Custom

Так, паника прошла, файлы фикса просто удалила, сайт вернулся, но что это было? Дело было точно в файле protect, удаляла файлы группами и проверяла, после возвращения старого файла protect сайт заработал.
Комментарий отредактирован 2016-12-15 15:15:06 пользователем anastasiauz
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.