"Критические уязвимости в платформе электронной коммерции Mag..."
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Критические уязвимости в платформе электронной коммерции Mag..." | +/– |  |
| Сообщение от opennews (??), 29-Янв-20, 21:41 | ||
Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются):... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 1. Сообщение от Аноним (1), 29-Янв-20, 21:41 | +3 +/– | |
Никогда такого не было и вот опять. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #4 | ||
| 2. Сообщение от commiethebeastie (ok), 29-Янв-20, 21:45 | +3 +/– |  |
Кому кредитных карт с персональными данными? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 4. Сообщение от Аноним (4), 29-Янв-20, 21:53 | –1 +/– | |
Он знали на что шли. и наверняка нехило сэкономили. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 5. Сообщение от Adobe (?), 29-Янв-20, 22:34 | +4 +/– | |
бл... кто помнит как звали того Кумара который нам ЭТО купил и нахрена он это сделал? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 6. Сообщение от Аноним (6), 30-Янв-20, 08:13 | +7 +/– | |
Адоб и критические уязвимости - прям как в старые добрые времена flash | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 7. Сообщение от Аноним (6), 30-Янв-20, 08:16 | +/– | |
Оно вроде написано на zend framework - который помер | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #9 | ||
| 8. Сообщение от Аноним (8), 30-Янв-20, 08:53 | +2 +/– | |
>CVE-2020-3719 - возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #15 | ||
| 9. Сообщение от конь в пальто (?), 30-Янв-20, 12:24 | +4 +/– | |
при чем на первом зф. и рефакторить вроде как не собираются. там те еще олени в разработке сидят. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #7 Ответы: #11 | ||
10.
Сообщение от Michael Shigorin (ok), 30-Янв-20, 12:43
| +/– |  |
#шо05? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #14 | ||
| 11. Сообщение от sin (??), 30-Янв-20, 13:48 | –2 +/– | |
Это была первая, которая EOL. Вторая на Symfony. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #9 Ответы: #13 | ||
| 13. Сообщение от конь в пальто (?), 30-Янв-20, 15:03 | +/– | |
вторая тоже на zf1. https://github.com/magento/magento2/blob/2.3/composer.json#L... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #11 | ||
| 14. Сообщение от Аноним (14), 30-Янв-20, 20:47 | +/– | |
Даги сила, ежжи | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #10 | ||
| 15. Сообщение от Аноним (6), 31-Янв-20, 06:15 | +/– | |
Используй фреймворк - говорили они | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #8 Ответы: #16 | ||
| 16. Сообщение от KonstantinB (??), 31-Янв-20, 14:14 | +1 +/– | |
Никакой фреймворк не помешает Кумару составить SQL-запрос прямой конкатенацией вместо prepared statements. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #15 Ответы: #17 | ||
| 17. Сообщение от Аноним (6), 01-Фев-20, 09:51 | –1 +/– | |
А веть это позиционируется как одно из основновных приемуществ | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #16 Ответы: #18, #19 | ||
| 18. Сообщение от KonstantinB (??), 01-Фев-20, 17:55 | +1 +/– | |
Наличие вилки не мешает жрать руками. Вывод - вилки не нужны! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 Ответы: #20 | ||
| 19. Сообщение от KonstantinB (??), 01-Фев-20, 18:05 | +/– | |
Я, кстати, как-то разгребал подобное. Взял nikic/PHP-Parser, составил список паттернов "подозрительного" кода с учетом специфики кодовой базы (самопальный DBAL), прогнал весь код, и сделал вывод в формате vim errorformat. Ложных срабатываний (когда конкатенация безопасна - просто такой ручной кверибилдер) было 80%, но все равно пройтись по quickfix - задача на порядки проще, чем отсматривать каждый запрос. Причем ложные срабатывания вполне можно было классифицировать и исключить, но и ручками пройтись было уже не так сложно. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 | ||
| 20. Сообщение от Й (?), 02-Фев-20, 17:04 | +/– | |
Проблема не в том что можно есть руками | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #18 Ответы: #21 | ||
| 21. Сообщение от KonstantinB (??), 03-Фев-20, 02:31 | +/– | |
Надо меньше читать хабр по утрам и больше думать головой. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #20 Ответы: #22 | ||
| 22. Сообщение от Аноним (22), 04-Фев-20, 09:00 | +/– | |
но все продвиженцы фрейморков утверждают что если используешь фреймворки - то думать головой не обязательно | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #21 | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
