Textpattern - на русском языке

Не проверял, но если так, то хорошо, что обнаружились хоть какие-то уязвимости. Ведь если о них ничего не писали, то это ещё не означало, что их не было. Соответственно, уязвимости были, но мы о них ничего не знали и было сложнее их устранить.

1. Не критично. Для этого нужно стать либо админом, либо дизайнером.

2. Решения:
2.1. Обработать переменную через strip_tags().
2.2. Переименовать log.php в собственный вариант и соответственно настроить includes в publish.php и txp_diag.php
А лучше сделать и то, и другое.

3 и 4. Админ может сам настраивать права доступа.

Рекомендация: не давать любых прав доступа к административной панели людям, которым не доверяете.

Nechaev написал:

Не проверял, но если так, то хорошо, что обнаружились хоть какие-то уязвимости.

Согласен наполовину.
Лучше когда сообщается об УСТРАНЕНИИ той или иной уязвимости.

Насколько понимаю, отображением логов занимается include/txp_log.php
Судя по svn - последняя модификация этого файла была 7 месяцев назад

Nechaev написал:

перед устранением уязвимости происходит её обнаружение.

Тоже согласен :-)
Но грустно, когда извещение про потенциальную уязвимость есть, а сообщения про устранение-нет.

Я бегло посмотрел вышеобозначенный файл, но толком не понял- сделано ли что-то для устранения этого недочета или нет.

Надо, на всякий случай поставить в изаестность об этом разработчиков.

Кто силен в письменном английском - большая просьба поднять вопрос про эту багу на оф.форуме.
По крайней мере будет ясно - устранена она или нет

the_ghost написал:

Отправил авторам...

Спасибо!
Отправил емэйлом?
Лучше на форуме поднимать вопрос.
В любом случае - держи в курсе :-)

Отредактированно Evgeny (08-01-2008 15:14:14)

the_ghost, нет никаких вестей?

Смотрю svn - там массовая замена escape_output() на htmlspecialchars () сделана во многих файлах.
Вот и прикидываю - может это твое письмо таким образом отработано?

the_ghost написал:

Без понятия - ответа на почту я не получил

может быть, повторить письмо? или нескольким разработчикам отправить персонально, через форму форума?

Отредактированно Evgeny (23-01-2008 13:17:36)

А вот и ответ:

1. r2781/r2782

2. r2778

3. Appears impossible. We need more details please.
Кажется невозможным. Пожалуйста подробнее

4. If the publisher/admin wants to exploit their own site, we can't
really do anything about that. However, PHP can already be turned off
completely if you cannot trust the folks you give access to your site.
See Advanced Preferences.
4. Если уже издатель\админ захочет завести backdoor - нам его не остановить. Но если не доверяете своей команде - отключите php в настройках

-Mary

Вот ссылки на изменения:
1. http://dev.textpattern.com/changeset/2778 (Thank Victor )
2. http://dev.textpattern.com/changeset/2772

Отредактированно the_ghost (26-01-2008 03:01:57)

Некоторые на 4.0.5 -то недавно переползли...

Evgeny - вы про меню справа в при написании статьи? Хотите чтобы там были не names а titles?

Я про список секций справа, при написании статьи.
Насчет хочу ли этого или не хочу... Думаю, это было бы правильно.
При почти 100% русофикации этот список секций с английскими буквами режет глаз.

цитирую из предыдущего обсуждения:

Evgeny написал:

При написании-редактировании статьи Список секций у всех выводится на английском?
Ни разу этот вопрос на форуме не поднимался.

А то может это у меня только такой эксклюзив? :-)

А теперь рассмотрим вот это:
http://www.securitylab.ru/vulnerability/312707.php