Huda ranljivost v modulih

[malcek]

2.1.2020 za dobrodošlico v novem letu so odkrili hudo ranljivost, ki lahko ogrozi celoten strežnik, če se zadeve na pokrpajo. Svetujem vsem, da si dobro preberejo katere module morajo "očistiti" in to naredijo čimprej. Če boste potrebovali pomoč pa kar napišite tukaj ali pa na zasebno sporočilo

Več o temu si preberite na povezavi. Na žalost je v angleščini: https://build.prestashop.com/news/critical-security-vulnerability-in-prestashop-modules/

[espacious]

Heh sem pravkar hotel napisat enako!

Sam se že našel 2 oz. 3 module, ki so vsebovali te mape.

Pri enem pa, če pobrišem mapo vtičnik ne deluje več. (je pa nek vtičnik razvit s strani tretje osebe in ga ni na presta addons).

Hvala malcek za info!

[malcek]

če vtičnik ne dela potem si pobrisal nekaj preveč, ker ta direktorij je namenjen samo za razvoj samega modula in ne za produkcije

Pobrišeš samoPHPUNIT direktorij v modules/ime_modula/vendor/phpunit

 

lp

martin

[espacious]

Ja to sem skontal, a mi razvijalec modula pravi da nebo ok ... bomo vidli. Kaj se pa zgodi ko te okuži vemo kaj?

[malcek]

potem razvijalec modula ne dela po smernicah PrestaShop trgovine.

jah ko si okužen kolikor sem razbral ti pokradejo iz baze uporabnike, maile, in gesla za dostop do njihovega računa v trgovini. Če je identično geslo tudi za sam email, potem lahko začne preko tega maila šopat SPAM

Zaenkrat je bilo to ugotovljeno kaj dela okužba. Ni pa še raziskovanje končano....

lp

martin

[espacious]

Ja itak ni po smernicah, kitajci se ne držijo standardov. Sm pa dobil odgovor od njih naj namesto celotnega folderja pobrišem samo določen file.

Problematičen je ta del kode. Baje.

Pri meni se nahaj v:

imemodula/vendor/phpunit/phpunit/src/Util/PHP

[malcek]

hja, to delaš na lastno pest. Priporočila so jasna.

 

lp

martin

[espacious]

Ja se strinjam. Sej sm zahteval da se popravi komplet kodo tako, da se popolnoma odstrani phpunit folder.

Seveda pa bo trajalo.