Yii 1.1.15 (исправление безопасности)
30 июня 2014
Вышел Yii 1.1.15, исправляющий проблему безопасности, найденную в 1.1.14. Более ранние версии не затронуты. Если вы используете его, следует обновиться. 1.1.15 полностью совместим с 1.1.14.
Уязвимость затрагивает CDetailView. Если ваше приложение берёт значение value от пользователя, то атакующий имеет возможность выполнить произвольный PHP скрипт на вашем сервере. Мы не раскрываем подробностей сразу чтобы дать время обновиться. По нашим данным детали пока известны только основной команде разработчиков фреймворка.
Уязвимости присвоен номер CVE-2014-4672.
Забрать дистрибутив можно, как обычно, на yiiframework.com или обновиться через Composer.
Комментарии RSS по email OK
Спасибо за информацию, хотелось бы в дальнейшем узнать всё-таки особенности этой дыры. Был бы полезный опыт.
yiiframework.ru/
Исправьте последнюю стабильную версию на сайте.
Уязвимость предельно точно описана. Можете посмотреть по коммитам что изменили.
Похоже, что в 1.1.15 в CDateTimeParser.php опять забыли пофиксить баг с распознаванием pattern 'y' как четырехзначного года. Строка 26: * y | 4 year digit, e.g., 2005 (available since 1.1.14) Строка 94: case 'y': сразу после case 'yyyy':
Alxd, 1.1.15 идентичен 1.1.14 за исключением фикса. Все изменения, которые планировались в 1.1.15, будут в 1.1.16.