View Full Version : |Aviso| MuSite - Falha de segurança
daldegam
27/02/2021, 10:37 PM
Boa noite, tudo bem?
Leandro Daldegam aqui!
Muito tempo se passou desde que eu desenvolvi o MuSite.
Fui contactado hoje por um desenvolvedor chamado Leonardo Lana ([Only registered and activated users can see links]), onde o mesmo me avisou de um problema de segurança existente no MuSite.
Após ele me mostrar onde estava a falha em questão, pedi o mesmo para enviar o patch de correção (pull request) para o repositório(github) do site que hoje é open source(código aberto).
Assim que ele enviou, aceitei a correção e fiz o merge.
Estou então avisando imediatamente para todas as pessoas que possivelmente utilizam o MuSite para que o atualizem imediatamente caso ainda estejam com ele em produção;
Como atualizar (explicação para leigos):
- Faça um backup do site que você está utilizando.
- Faça o download do conteúdo desse arquivo: [Only registered and activated users can see links]
- Abra o diretório em que o site está instalado, e substitua o arquivo modules/classes/ldpaneluser.class.php pelo que você acabou de obter no link acima.
- Pronto, seu site estará atualizado.
Recomendo que acessem o repositório [Only registered and activated users can see links] e usem o recurso "Watch" e também "Star" para ficarem sabendo de futuras atualizações de segurança por parte da própria comunidade.
Imagem de como ativar as opções:
[Only registered and activated users can see links]
Caso não tenha cadastro no github basta se cadastrar, é gratuito.
O patch de segurança em questão foi:[Only registered and activated users can see links]
Agradeço ao Leonardo Lana pelo aviso.
Abraços,
Leandro Daldegam
lkt22
27/02/2021, 11:10 PM
Agradecemos pela contribuição e por preocupar-se em ainda aplicar correções mesmo após tantos anos, Leandro. Abraço.
Boa noite, tudo bem?
Leandro Daldegam aqui!
Muito tempo se passou desde que eu desenvolvi o MuSite.
Fui contactado hoje por um desenvolvedor chamado Leonardo Lana ([Only registered and activated users can see links]), onde o mesmo me avisou de um problema de segurança existente no MuSite.
Após ele me mostrar onde estava a falha em questão, pedi o mesmo para enviar o patch de correção (pull request) para o repositório(github) do site que hoje é open source(código aberto).
Assim que ele enviou, aceitei a correção e fiz o merge.
Estou então avisando imediatamente para todas as pessoas que possivelmente utilizam o MuSite para que o atualizem imediatamente caso ainda estejam com ele em produção;
Como atualizar (explicação para leigos):
- Faça um backup do site que você está utilizando.
- Faça o download do conteúdo desse arquivo: [Only registered and activated users can see links]
- Abra o diretório em que o site está instalado, e substitua o arquivo modules/classes/ldpaneluser.class.php pelo que você acabou de obter no link acima.
- Pronto, seu site estará atualizado.
Recomendo que acessem o repositório [Only registered and activated users can see links] e usem o recurso "Watch" e também "Star" para ficarem sabendo de futuras atualizações de segurança por parte da própria comunidade.
Imagem de como ativar as opções:
[Only registered and activated users can see links]
Caso não tenha cadastro no github basta se cadastrar, é gratuito.
O patch de segurança em questão foi:[Only registered and activated users can see links]
Agradeço ao Leonardo Lana pelo aviso.
Abraços,
Leandro Daldegam
Não é atoa que é o melhor programador web que o MU Online já teve!
Agradeço pelo comprometimento com a comunidade...
Você poderia nos informar qual a função que foi corrigida? Modifiquei bastante o MuSite e preciso saber se ainda utilizo a função em questão.
lkt22
27/02/2021, 11:46 PM
FUNC: loadOptionsChangeClass()
Old code: SET Class="$_POST['newclass']."
New code: SET Class=".(int)$_POST['newclass']."
Edit: (...) quem tiver interesse pode acompanhar diretamente a alteração clicando aqui ([Only registered and activated users can see links])
FUNC: loadOptionsChangeClass()
Old code: SET Class="$_POST['newclass']."
New code: SET Class=".(int)$_POST['newclass']."
Edit: (...) quem tiver interesse pode acompanhar diretamente a alteração clicando aqui ([Only registered and activated users can see links])
Ah sim, felizmente eu não disponibilizei essa função pros meus clientes, nunca cheguei a olhar ela a fundo.
alef666
27/02/2021, 11:57 PM
lenda daldegam
Strong
28/02/2021, 12:20 AM
Lenda demais, DelmeX!
Quest
28/02/2021, 08:41 PM
Já ganhou uma nota de mim, grande profissional valeu Leandro.
leolana
31/03/2021, 03:47 PM
Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs
DarkMixMuOnline
01/04/2021, 12:39 AM
Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs
Explica Melhor pra nos sobre essas falhas , e qual o comando que faz pra da o acesso pra que nos possa bloquear tambem <3 <3
ARBOK
01/04/2021, 06:29 AM
entao porque nao mostra a falha ?
- ja que voce achou ou ta de zoação com a cara dos outro
leolana
01/04/2021, 08:51 AM
Já mostrei a falha, o PR já foi submetido e já está no git. Você não espera um tutorial de invasão, espera?
Linkzr
01/04/2021, 01:50 PM
Também não acho válido ensinar como é que faz a falha, até porque vai ter muito "nerdão" ai brincando com os servidores alheios...
[Only registered and activated users can see links]
andredeco
01/04/2021, 07:00 PM
É lógico que ninguém vai explicar como ocorre a falha, como já disseram, ABESTADO é o que iria faltar
querendo zoar os usuários da Web.
[Only registered and activated users can see links]
Muito obrigado pela preocupação e por este suporte, fantástico!
brunoDIE
01/04/2021, 08:04 PM
é só colocar 1=1;
russo1
01/04/2021, 08:21 PM
Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs
Boa noite!! Te enviei uma mensagem privada
Se possivel, retorne o contato :)
DANRLLEY
06/04/2021, 03:28 PM
DALDEGAM você é um MITO! pqp.
Eu e todos nois da comunidade agradecemos de coração por todo carinho e atenção!
Você é um grande homem, alem de ter passado anos (decada) sem trabalhar com o projeto, e mesmo assim ainda atualizou.
um grande abraço! de seu amigo danrlley.
sampaforce
08/04/2021, 01:29 PM
Muito Obrigado ao Mito Daldegam e ao Lana tbm por ter contribuido.
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions Inc. All rights reserved.