Показать страницуСсылки сюдаНаверх Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно. ====== Закрытие security бага в личном кабинете ====== В файле с открытым кодом **pay.php** была найдена [[https://www.google.com/search?q=lfi+%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C|LFI]] уязвимость, в совокупности с [[https://www.php.net/manual/ru/filesystem.configuration.php|allow_url_fopen]] привела к неприятным событиям. ===== Установка ===== <note warning>Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!</note> Скачать архивы {{ :bugfix:12062019:stat_backend_prerelease.tar |backend платежей}}, {{ :bugfix:12062019:stat_front_prerelease.tar |Frontend кабинета}} и распаковать файлы. <code> cd /var/www/mikbill/stat wget -O stat_backend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_backend_prerelease.tar tar xvf stat_backend.tar wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar tar xvf stat_frontend.tar </code> ===== Лк на внешнем сервере ===== <note warning>Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!</note> Если ЛК у вас вынесен на другой сервер, на него так же нужно поставить фикс Frontend кабинета и {{ :bugfix:12062019:stat_front_proxypay.tar |прокси файла}} для платежей: <code> cd /var/www/mikbill/stat wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar tar xvf stat_frontend.tar wget -O stat_proxypay.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_proxypay.tar tar xvf stat_proxypay.tar </code> ===== Исправление прав и владельца ===== Если после установки фикса сбились права и владельцы файлов, правим их выполнив:\\ Права на файлы:\\ <code> find /var/www/mikbill/stat -type f -exec chmod 644 -- {} + find /var/www/mikbill/stat -type d -exec chmod 755 -- {} + </code> Владельца файлов:\\ <code> chown apache:apache -R /var/www/mikbill/stat </code> PS: в debian владельцем web сервера является **www-data** bugfix/12062019/stat.txt Последнее изменение: 5 лет назад — alexd