<rmcreative>

RSS

Yii 1.1.15 (исправление безопасности)

30 июня 2014

Вышел Yii 1.1.15, исправляющий проблему безопасности, найденную в 1.1.14. Более ранние версии не затронуты. Если вы используете его, следует обновиться. 1.1.15 полностью совместим с 1.1.14.

Уязвимость затрагивает CDetailView. Если ваше приложение берёт значение value от пользователя, то атакующий имеет возможность выполнить произвольный PHP скрипт на вашем сервере. Мы не раскрываем подробностей сразу чтобы дать время обновиться. По нашим данным детали пока известны только основной команде разработчиков фреймворка.

Уязвимости присвоен номер CVE-2014-4672.

Забрать дистрибутив можно, как обычно, на yiiframework.com или обновиться через Composer.

Комментарии RSS

  1. №9081
    Плютов Саша
    Плютов Саша 30.06.2014, 11:38:59

    Спасибо за информацию, хотелось бы в дальнейшем узнать всё-таки особенности этой дыры. Был бы полезный опыт.

  2. №9082
    Саша
    Саша 30.06.2014, 12:38:06

    yiiframework.ru/

    Исправьте последнюю стабильную версию на сайте.

  3. №9083
    AlexGx8
    AlexGx8 30.06.2014, 12:58:19

    Спасибо за информацию, хотелось бы в дальнейшем узнать всё-таки особенности этой дыры. Был бы полезный опыт.

    Уязвимость предельно точно описана. Можете посмотреть по коммитам что изменили.

  4. №9084
    Alxd
    Alxd 30.06.2014, 13:19:45

    Похоже, что в 1.1.15 в CDateTimeParser.php опять забыли пофиксить баг с распознаванием pattern 'y' как четырехзначного года. Строка 26: * y | 4 year digit, e.g., 2005 (available since 1.1.14) Строка 94: case 'y': сразу после case 'yyyy':

  5. №9085
    Sam
    Sam 30.06.2014, 16:12:24

    Alxd, 1.1.15 идентичен 1.1.14 за исключением фикса. Все изменения, которые планировались в 1.1.15, будут в 1.1.16.

  1. Почта опубликована не будет.

  2. Можно использовать синтаксис Markdown или HTML.

  3. Введите ответ в поле. Щёлкните, чтобы получить другую задачу.