====== Закрытие security бага в личном кабинете ======

В файле с открытым кодом **pay.php** была найдена [[https://www.google.com/search?q=lfi+%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C|LFI]] уязвимость, в совокупности с [[https://www.php.net/manual/ru/filesystem.configuration.php|allow_url_fopen]] привела к неприятным событиям.

===== Установка =====
<note warning>Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!</note>
Скачать архивы {{ :bugfix:12062019:stat_backend_prerelease.tar |backend платежей}}, {{ :bugfix:12062019:stat_front_prerelease.tar |Frontend кабинета}} и распаковать файлы.
<code>
cd /var/www/mikbill/stat
wget -O stat_backend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_backend_prerelease.tar
tar xvf stat_backend.tar

wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar
tar xvf stat_frontend.tar
</code>

===== Лк на внешнем сервере =====
<note warning>Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!</note>
Если ЛК у вас вынесен на другой сервер, на него так же нужно поставить фикс Frontend кабинета и {{ :bugfix:12062019:stat_front_proxypay.tar |прокси файла}} для платежей:
<code>
cd /var/www/mikbill/stat
wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar
tar xvf stat_frontend.tar

wget -O stat_proxypay.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_proxypay.tar
tar xvf stat_proxypay.tar
</code>

===== Исправление прав и владельца =====
Если после установки фикса сбились права и владельцы файлов, правим их выполнив:\\
Права на файлы:\\
<code>
find /var/www/mikbill/stat -type f -exec chmod 644 -- {} +
find /var/www/mikbill/stat -type d -exec chmod 755 -- {} +
</code>

Владельца файлов:\\
<code>
chown apache:apache -R /var/www/mikbill/stat
</code>
PS: в debian владельцем web сервера является **www-data**