[QUOTE] написал:
[QUOTE] написал:
[QUOTE] написал:
овость от 06.02.2025 по теме для решений от Аспро: Взломы сайтов на решениях Аспро: как обезопасить проект Проблема актуальна для решений Аспро, не обновлявшихся с лета 2023 года.Для проектов Аспро, снятых с поддержки, есть Патчер безопасности . Прямая ссылка на патчер: [URL=https://aspro.ru/upload/fixit.zip]https://aspro.ru/upload/fixit.zip[/URL] (распаковать в корень сайта, перейти по ссылке [URL=https://mydomain.com]https://mydomain.com[/URL] /fixit.php)Информация для исправления вручную: Общая информация по исправлению уязвимости unserialize ЦитатаРешениеДля исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false].Пример:было: unserialize($_REQUEST["PARAMS"])стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])Обязательно проверить директории:/ajax//include//form//bitrix/components/aspro/Запустить поиск по этим папкам слова unserialize и внести правки во всех местах где требуется.Если у вас вместо unserialize используется Solution::unserialize() или CMax::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.[/QUOTE]
!!!!!!!!!!!!! Ни в коем случае не запускайте данный патч в режиме исправления, если не хотите положить сайт !!!!!!!!!!
Только в режиме просмотра.
При исправлении там сплошные синтаксические ошибки, задвоения аргументов и т.п.[/QUOTE]
Я использовал этот патч, предварительно локально проверив его работу. У меня он ничего не поломал, применил на 3х сайтах, все ок.
Кто-то еще применял патч? После него были заражения?
Этот патч находит все файлы с уязвимым кодом и меняет его на
$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ['allowed_classes' => false]);
Может еще что-то добавляет в аспрошных классах, там не смотрел.[/QUOTE]
Добрый день! А что значит запускать в режиме просмотра?
