Yii 2.0.5 (исправление безопасности)
11 июля 2015
Вышел Yii 2.0.5 исправляющий проблему с безопасностью, найденную в классе yii\web\ViewAction
. Настоятельно рекомендуется обновиться. Обновление полностью совместимо с 2.0.4, содержит только исправление безопасности и не поломает ваш код.
Уязвимость в ViewAction
и заключается в возможности запускать любой PHP файл (или файл с расширением .php
) на диске передав относительный путь через параметр view
. Так как о проблеме сообщили через публичный трекер, мы исправили её и выпустили обновление немедленно.
Для этой уязвимости мы зарезервировали номер CVE-2015-5467.
Комментарии RSS по email OK
Yii1 не касается?
Нет, Yii1 это не касается.
А что в этом страшного? Я что-то не пойму. Или это для тех, кто делает такие конструкции
?
@Влад, нет. Почитайте тут подробнее: github.com/yiisoft/yii2/issues/9070
@resurtm, всё равно не вижу тут проблемы безопасности. Но вижу проблему программиста, который пишет такой код.
hscstudio.gitbooks.io/angular1-yii2/content/documentation/index.html - Сэм, ты указан там в разделе "Our Team" рядом с каким то индусом, ты действительно являешься учасником этой команды или тот нигер слишком много себе разрешает?)
@Валентин, следите за словами. «Нигер» — это оскорбление и очень нетолерантно.
Editorial — это вычитывание книги.
Это цитата из фильма, не будьте таким занудой, тем более следует понимать что я с этим человеком не знаком, и не могу судить о цвете его кожи
Валентин, он индонезиец, если что. И да, я с ним работал над тем самым туториалом.
Починили бы уже такую приколюху: rmcreative.ru/?r[]=
Vi, как только перепишу на Yii 2.0 :)