Леонид Каганов: дневник

Друзья! Да, мне еще раз перед всеми вами феерически стыдно за свою ошибку в коде, и будет стыдно еще долго. Я в прошлом посте говорил, что найдена уязвимость и слёзно просил обновиться. Сегодня я снова об этом.

Обновились, насколько я могу видеть, только трое (условно обозначим их как z--r, Мик-н и Кон-в).

Вы спросите, как я это вижу? Дело в том, что в инсталляторе движка какое-то время была кнопка (кажется, ее давно нет) типа «похвастаться установкой», по нажатию которой на мой сайт сообщался адрес вашего движка. В первый год эти адреса даже выводились на страничке слева, но потом я взялся за ум и список убрал — именно на такой случай, если найдется неприятная уязвимость: чтоб враг не узнал, где ее искать. Сейчас я этот список нашел и прошелся руками по всем. Большая часть движков давно не существует, но некоторые работали. Я полагаю, что список серверов у меня был далеко не полный, а очень-очень старый. Поэтому если вы ставили движок в течении последний пары лет, то его в нем не оказалось.

К сожалению, уязвимость настолько гнусная, что позволяет произвольному пользователю заменить любой файл на сервере. В этой ситуации я рассудил, что глупо ждать, пока это сделает кто-то другой, и сам заменил уязвимый файл на исправленный там, где это было можно.

Так движок стал неуязвим у Ер-ва, vo-ne и М.М. Еще раз извините за это вынужденное вмешательство, я лишь обновил один файл php, переименовав старый.

Другие три движка (как я уже писал выше) попытку хака отвергли — значит, уже обновлены.

Все остальные мне просто неизвестны, но если вы читаете эти строки — обновите движок с любого из источников.

Еще раз извините.