Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критические уязвимости в платформе электронной коммерции Mag..."	+/–
Сообщение от opennews (??), 29-Янв-20, 21:41
Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются):... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52274
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Критические уязвимости в платформе электронной коммерции Mag..."	+3 +/–
Сообщение от Аноним (1), 29-Янв-20, 21:41
Никогда такого не было и вот опять.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Критические уязвимости в платформе электронной коммерции Mag..."	–1 +/–
	Сообщение от Аноним (4), 29-Янв-20, 21:53
	Он знали на что шли. и наверняка нехило сэкономили.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Критические уязвимости в платформе электронной коммерции Mag..."	+3 +/–
Сообщение от commiethebeastie (ok), 29-Янв-20, 21:45
Кому кредитных карт с персональными данными?
Ответить | Правка | Наверх | Cообщить модератору

5. "Критические уязвимости в платформе электронной коммерции Mag..."	+4 +/–
Сообщение от Adobe (?), 29-Янв-20, 22:34
бл... кто помнит как звали того Кумара который нам ЭТО купил и нахрена он это сделал?
Ответить | Правка | Наверх | Cообщить модератору

6. "Критические уязвимости в платформе электронной коммерции Mag..."	+7 +/–
Сообщение от Аноним (6), 30-Янв-20, 08:13
Адоб и критические уязвимости - прям как в старые добрые времена flash
Ответить | Правка | Наверх | Cообщить модератору

7. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
Сообщение от Аноним (6), 30-Янв-20, 08:16
Оно вроде написано на zend framework - который помер Или уже переписали на laminas?
Ответить | Правка | Наверх | Cообщить модератору

	9. "Критические уязвимости в платформе электронной коммерции Mag..."	+4 +/–
	Сообщение от конь в пальто (?), 30-Янв-20, 12:24
	при чем на первом зф. и рефакторить вроде как не собираются. там те еще олени в разработке сидят.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Критические уязвимости в платформе электронной коммерции Mag..."	–2 +/–
	Сообщение от sin (??), 30-Янв-20, 13:48
	Это была первая, которая EOL. Вторая на Symfony.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
	Сообщение от конь в пальто (?), 30-Янв-20, 15:03
	вторая тоже на zf1. https://github.com/magento/magento2/blob/2.3/composer.json#L... они используют некоторые symfony компоненты, но то же через 1 место, испоганив их своими обертками.
	Ответить | Правка | Наверх | Cообщить модератору

8. "Критические уязвимости в платформе электронной коммерции Mag..."	+2 +/–
Сообщение от Аноним (8), 30-Янв-20, 08:53
>CVE-2020-3719 - возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД. little bobby tables strikes again а чо глобально надёжно ынтырпрайзно вЭбота фреймворки жавы CIO закупки МБА вот это всё))) а потом золотой парашют. и по новой!
Ответить | Правка | Наверх | Cообщить модератору

	15. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
	Сообщение от Аноним (6), 31-Янв-20, 06:15
	Используй фреймворк - говорили они Там нет возможности sql injection - говорили они
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Критические уязвимости в платформе электронной коммерции Mag..."	+1 +/–
	Сообщение от KonstantinB (??), 31-Янв-20, 14:14
	Никакой фреймворк не помешает Кумару составить SQL-запрос прямой конкатенацией вместо prepared statements.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Критические уязвимости в платформе электронной коммерции Mag..."	–1 +/–
	Сообщение от Аноним (6), 01-Фев-20, 09:51
	А веть это позиционируется как одно из основновных приемуществ Вывод - фреймворк не нужны
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Критические уязвимости в платформе электронной коммерции Mag..."	+1 +/–
	Сообщение от KonstantinB (??), 01-Фев-20, 17:55
	Наличие вилки не мешает жрать руками. Вывод - вилки не нужны!
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
	Сообщение от Й (?), 02-Фев-20, 17:04
	Проблема не в том что можно есть руками Проблема в том что тебе нагло врут что вилка защищает от наличия тараканов и мух в еде
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
	Сообщение от KonstantinB (??), 03-Фев-20, 02:31
	Надо меньше читать хабр по утрам и больше думать головой.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
	Сообщение от Аноним (22), 04-Фев-20, 09:00
	но все продвиженцы фрейморков утверждают что если используешь фреймворки - то думать головой не обязательно
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
	Сообщение от KonstantinB (??), 01-Фев-20, 18:05
	Я, кстати, как-то разгребал подобное. Взял nikic/PHP-Parser, составил список паттернов "подозрительного" кода с учетом специфики кодовой базы (самопальный DBAL), прогнал весь код, и сделал вывод в формате vim errorformat. Ложных срабатываний (когда конкатенация безопасна - просто такой ручной кверибилдер) было 80%, но все равно пройтись по quickfix - задача на порядки проще, чем отсматривать каждый запрос. Причем ложные срабатывания вполне можно было классифицировать и исключить, но и ручками пройтись было уже не так сложно. На этой идее вполне можно сделать статический анализатор (но он должен быть достаточно конфигурируемым, чтобы ему объяснить API конкретного DBAL).
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

10. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
Сообщение от Michael Shigorin (ok), 30-Янв-20, 12:43
#шо05?
Ответить | Правка | Наверх | Cообщить модератору

	14. "Критические уязвимости в платформе электронной коммерции Mag..."	+/–
	Сообщение от Аноним (14), 30-Янв-20, 20:47
	Даги сила, ежжи
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема