<rmcreative>

RSS

Yii 2.0.5 (исправление безопасности)

11 июля 2015

Вышел Yii 2.0.5 исправляющий проблему с безопасностью, найденную в классе yii\web\ViewAction. Настоятельно рекомендуется обновиться. Обновление полностью совместимо с 2.0.4, содержит только исправление безопасности и не поломает ваш код.

Уязвимость в ViewAction и заключается в возможности запускать любой PHP файл (или файл с расширением .php) на диске передав относительный путь через параметр view. Так как о проблеме сообщили через публичный трекер, мы исправили её и выпустили обновление немедленно.

Для этой уязвимости мы зарезервировали номер CVE-2015-5467.

Комментарии RSS

  1. №9891
    Серега
    Серега 11.07.2015, 12:04:13

    Yii1 не касается?

  2. №9894
    Web Design Dubai
    Web Design Dubai 11.07.2015, 13:08:53

    Нет, Yii1 это не касается.

  3. №9902
    Влад
    Влад 14.07.2015, 2:34:11

    А что в этом страшного? Я что-то не пойму. Или это для тех, кто делает такие конструкции

    $this->render($_GET['action']);

    ?

  4. №9903
    resurtm
    resurtm 14.07.2015, 6:29:55

    @Влад, нет. Почитайте тут подробнее: github.com/yiisoft/yii2/issues/9070

  5. №9904
    Влад
    Влад 14.07.2015, 15:09:07

    @resurtm, всё равно не вижу тут проблемы безопасности. Но вижу проблему программиста, который пишет такой код.

  6. №9913
    Валентин
    Валентин 23.07.2015, 9:31:39

    hscstudio.gitbooks.io/angular1-yii2/content/documentation/index.html - Сэм, ты указан там в разделе "Our Team" рядом с каким то индусом, ты действительно являешься учасником этой команды или тот нигер слишком много себе разрешает?)

  7. №9914
    resurtm
    resurtm 23.07.2015, 9:39:16

    @Валентин, следите за словами. «Нигер» — это оскорбление и очень нетолерантно.

    Editorial — это вычитывание книги.

  8. №9916
    Валентин
    Валентин 23.07.2015, 13:01:19

    Это цитата из фильма, не будьте таким занудой, тем более следует понимать что я с этим человеком не знаком, и не могу судить о цвете его кожи

  9. №9918
    Sam
    Sam 24.07.2015, 16:54:11

    Валентин, он индонезиец, если что. И да, я с ним работал над тем самым туториалом.

  10. №9922
    Vi
    Vi 03.08.2015, 11:46:35

    Починили бы уже такую приколюху: rmcreative.ru/?r[]=

  11. №9923
    Sam
    Sam 03.08.2015, 14:42:30

    Vi, как только перепишу на Yii 2.0 :)

  1. Почта опубликована не будет.

  2. Можно использовать синтаксис Markdown или HTML.

  3. Введите ответ в поле. Щёлкните, чтобы получить другую задачу.