The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Критические уязвимости в платформе электронной коммерции Mag..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от opennews (??), 29-Янв-20, 21:41 
Компания Adobe выпустила обновление открытой платформы для организации электронной коммерции Magento (2.3.4, 2.3.3-p1 и 2.2.11), которая занимает около 10% рынка систем для создания интернет-магазинов (Adobe стал владельцем Magento в 2018 году). В обновлении устранено 6 уязвимостей, из которых трём присвоен критический уровень опасности (подробности пока не сообщаются):...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52274

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критические уязвимости в платформе электронной коммерции Mag..."  +3 +/
Сообщение от Аноним (1), 29-Янв-20, 21:41 
Никогда такого не было и вот опять.
Ответить | Правка | Наверх | Cообщить модератору

4. "Критические уязвимости в платформе электронной коммерции Mag..."  –1 +/
Сообщение от Аноним (4), 29-Янв-20, 21:53 
Он знали на что шли. и наверняка нехило сэкономили.
Ответить | Правка | Наверх | Cообщить модератору

2. "Критические уязвимости в платформе электронной коммерции Mag..."  +3 +/
Сообщение от commiethebeastie (ok), 29-Янв-20, 21:45 
Кому кредитных карт с персональными данными?
Ответить | Правка | Наверх | Cообщить модератору

5. "Критические уязвимости в платформе электронной коммерции Mag..."  +4 +/
Сообщение от Adobe (?), 29-Янв-20, 22:34 
бл... кто помнит как звали того Кумара который нам ЭТО купил и нахрена он это сделал?
Ответить | Правка | Наверх | Cообщить модератору

6. "Критические уязвимости в платформе электронной коммерции Mag..."  +7 +/
Сообщение от Аноним (6), 30-Янв-20, 08:13 
Адоб и критические уязвимости - прям как в старые добрые времена flash
Ответить | Правка | Наверх | Cообщить модератору

7. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от Аноним (6), 30-Янв-20, 08:16 
Оно вроде написано на zend framework - который помер
Или уже переписали на laminas?

Ответить | Правка | Наверх | Cообщить модератору

9. "Критические уязвимости в платформе электронной коммерции Mag..."  +4 +/
Сообщение от конь в пальто (?), 30-Янв-20, 12:24 
при чем на первом зф. и рефакторить вроде как не собираются. там те еще олени в разработке сидят.
Ответить | Правка | Наверх | Cообщить модератору

11. "Критические уязвимости в платформе электронной коммерции Mag..."  –2 +/
Сообщение от sin (??), 30-Янв-20, 13:48 
Это была первая, которая EOL. Вторая на Symfony.
Ответить | Правка | Наверх | Cообщить модератору

13. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от конь в пальто (?), 30-Янв-20, 15:03 
вторая тоже на zf1. https://github.com/magento/magento2/blob/2.3/composer.json#L...
они используют некоторые symfony компоненты, но то же через 1 место, испоганив их своими обертками.
Ответить | Правка | Наверх | Cообщить модератору

8. "Критические уязвимости в платформе электронной коммерции Mag..."  +2 +/
Сообщение от Аноним (8), 30-Янв-20, 08:53 
>CVE-2020-3719 - возможность подстановки SQL-команд, позволяющая получить доступ к данным в БД.

little bobby tables strikes again

а чо глобально надёжно ынтырпрайзно
вЭбота фреймворки жавы CIO закупки МБА вот это всё))) а потом золотой парашют. и по новой!

Ответить | Правка | Наверх | Cообщить модератору

15. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от Аноним (6), 31-Янв-20, 06:15 
Используй фреймворк - говорили они
Там нет возможности sql injection - говорили они
Ответить | Правка | Наверх | Cообщить модератору

16. "Критические уязвимости в платформе электронной коммерции Mag..."  +1 +/
Сообщение от KonstantinB (??), 31-Янв-20, 14:14 
Никакой фреймворк не помешает Кумару составить SQL-запрос прямой конкатенацией вместо prepared statements.
Ответить | Правка | Наверх | Cообщить модератору

17. "Критические уязвимости в платформе электронной коммерции Mag..."  –1 +/
Сообщение от Аноним (6), 01-Фев-20, 09:51 
А веть это позиционируется как одно из основновных приемуществ

Вывод - фреймворк не нужны

Ответить | Правка | Наверх | Cообщить модератору

18. "Критические уязвимости в платформе электронной коммерции Mag..."  +1 +/
Сообщение от KonstantinB (??), 01-Фев-20, 17:55 
Наличие вилки не мешает жрать руками. Вывод - вилки не нужны!
Ответить | Правка | Наверх | Cообщить модератору

20. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от Й (?), 02-Фев-20, 17:04 
Проблема не в том что можно есть руками

Проблема в том что тебе нагло врут что вилка защищает от наличия тараканов и мух в еде

Ответить | Правка | Наверх | Cообщить модератору

21. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от KonstantinB (??), 03-Фев-20, 02:31 
Надо меньше читать хабр по утрам и больше думать головой.
Ответить | Правка | Наверх | Cообщить модератору

22. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от Аноним (22), 04-Фев-20, 09:00 
но все продвиженцы фрейморков утверждают что если используешь фреймворки - то думать головой не обязательно
Ответить | Правка | Наверх | Cообщить модератору

19. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от KonstantinB (??), 01-Фев-20, 18:05 
Я, кстати, как-то разгребал подобное. Взял nikic/PHP-Parser, составил список паттернов "подозрительного" кода с учетом специфики кодовой базы (самопальный DBAL), прогнал весь код, и сделал вывод в формате vim errorformat. Ложных срабатываний (когда конкатенация безопасна - просто такой ручной кверибилдер) было 80%, но все равно пройтись по quickfix - задача на порядки проще, чем отсматривать каждый запрос. Причем ложные срабатывания вполне можно было классифицировать и исключить, но и ручками пройтись было уже не так сложно.

На этой идее вполне можно сделать статический анализатор (но он должен быть достаточно конфигурируемым, чтобы ему объяснить API конкретного DBAL).

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

10. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от Michael Shigorinemail (ok), 30-Янв-20, 12:43 
#шо05?
Ответить | Правка | Наверх | Cообщить модератору

14. "Критические уязвимости в платформе электронной коммерции Mag..."  +/
Сообщение от Аноним (14), 30-Янв-20, 20:47 
Даги сила, ежжи
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру