Вход для клиентов
Уязвимость в Shop-Script FREE
Сегодня обнаружили серьезную уязвимость в Shop-Script FREE и выпустили патч для ее устранения (подробнее об уязвимости по ссылке выше - на английском языке). В дистрибутивах Shop-Script FREE уязвимость также была устранена (последняя версия доступна для загрузки в Центре Заказчика).
Для пользователей Shop-Script FREE мы настоятельно рекомендуем установить патч для того, чтобы устранить уязвимость.
Загрузить патч (10 Кб)
Этот патч подходит только для версии Shop-Script FREE 2.0 (выпущена в мае 2007). После загрузки патча просто перезапишите файлами из архива файлы вашей установленной копии Shop-Script FREE. Никаких видимых изменений в вашем интернет-магазине вы не увидите, но уязвимость будет устранена.
Если вы пользуетесь более ранней версией Shop-Script FREE (например, 1.2, 1.3), пожалуйста, следуйте инструкциям по устранению уязвимости.
ВАЖНОЕ ДОПОЛНЕНИЕ: После того, как вы проследовали всем инструкциям по устранению уязвимости или установили патч, обязательно войдите в режим администрирования и пересохраните настройки “Общие настройки” и “Оформление” вашего магазина. Это необходимо для того, чтобы устранить код, который могли внедрить в скрипты злоумышленники до того, как вы обновили ваши скрипты (не обязательно, что это произошло, но для обеспечения безопасности вашего магазина, не пропускайте этот шаг).
В PRO уязвимость есть? Глянул — там вроде бы везде используется функция Redirect состоящая из пары header(’Location’ ..) и exit() — т.е. эксплойт, вроде, работать не должен.
Comment от Сергей — Сентябрь 23, 2007 @ 2:25 пп
В PRO и PREMIUM уязвимости нет - она была только в FREE версии.
Comment от Тупоршин Владимир — Сентябрь 23, 2007 @ 2:48 пп
ВАЖНОЕ ДОПОЛНЕНИЕ: После того, как вы проследовали всем инструкциям по устранению уязвимости или установили патч, обязательно войдите в режим администрирования и пересохраните настройки “Общие настройки” и “Оформление” вашего магазина. Это необходимо для того, чтобы устранить код, который могли внедрить в скрипты злоумышленники до того, как вы обновили ваши скрипты (не обязательно, что это произошло, но для обеспечения безопасности вашего магазина, не пропускайте этот шаг).
Comment от Тупоршин Владимир — Сентябрь 24, 2007 @ 1:16 пп
а как узнать версию Shop-Script установленого?
Comment от Женя — Сентябрь 25, 2007 @ 4:33 пп
Если у вас остались установочные скрипты install.php, вы можете посмотреть версию в этом файле. Если вы удалил этот файл, то единственный способ посмотреть - это по дате модификаций файлов, например, index.php, admin.php - если файлы модифицированы в мае 2007, то у вас последняя версия (2.0).
Comment от Тупоршин Владимир — Сентябрь 25, 2007 @ 4:45 пп
Скадите, можно убрать надпись:”Хотите больше возможностей? Посмотрите коммерческие версии Shop-Script:www.shop-script.ru От 4950 рублей”
Если да, то как?
Comment от Павел — Октябрь 4, 2007 @ 11:21 дп
Конечно, возможно. Это шаблон templates/tmpl1/index.tpl.html - комментариями там четко обозначен фрагмент, который нужно удалить.
Comment от Тупоршин Владимир — Октябрь 4, 2007 @ 11:23 дп
Сделано. Спасибо за помощь. Еще вопрос: Можно поменять заголовок “Специальные предложения” на свой, например “Последние поступления”, а еще поменять шрифт очень хочется:-)
Comment от Павел — Октябрь 5, 2007 @ 6:25 пп
Простите, но вопрос относительно заголовка и измены шрифта, так и остался открытым, можно это поменять или нет?
Comment от Павел — Октябрь 8, 2007 @ 3:04 пп
Все можно изменить - и шрифты, и тексты заголовков. Пожалуйста, задавайте подобные вопросы в службу поддержки, а не в комментариях в блоге. Здесь ваши вопросы могут так и остаться висеть, потому как службы поддержки их не обрабатывает.
Comment от Тупоршин Владимир — Октябрь 9, 2007 @ 9:15 дп
Если я скачал дистрибутив в феврале 2008, то нужно ли устанавливать данный патч, или он уже интегрирован в систему?
Comment от Виктор — Февраль 15, 2008 @ 12:21 пп
Нет, ничего устанавливать не нужно.
Мы обновили Shop-Script FREE еще в сентябре 2007, где устранили эту уязвимость. С тех пор продукт устойчив к таким попыткам взлома.
Comment от Тупоршин Владимир — Февраль 15, 2008 @ 12:31 пп