====== Закрытие security бага в личном кабинете ======
В файле с открытым кодом **pay.php** была найдена [[https://www.google.com/search?q=lfi+%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8C|LFI]] уязвимость, в совокупности с [[https://www.php.net/manual/ru/filesystem.configuration.php|allow_url_fopen]] привела к неприятным событиям.
===== Установка =====
Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!
Скачать архивы {{ :bugfix:12062019:stat_backend_prerelease.tar |backend платежей}}, {{ :bugfix:12062019:stat_front_prerelease.tar |Frontend кабинета}} и распаковать файлы.
cd /var/www/mikbill/stat
wget -O stat_backend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_backend_prerelease.tar
tar xvf stat_backend.tar
wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar
tar xvf stat_frontend.tar
===== Лк на внешнем сервере =====
Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!
Если ЛК у вас вынесен на другой сервер, на него так же нужно поставить фикс Frontend кабинета и {{ :bugfix:12062019:stat_front_proxypay.tar |прокси файла}} для платежей:
cd /var/www/mikbill/stat
wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar
tar xvf stat_frontend.tar
wget -O stat_proxypay.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_proxypay.tar
tar xvf stat_proxypay.tar
===== Исправление прав и владельца =====
Если после установки фикса сбились права и владельцы файлов, правим их выполнив:\\
Права на файлы:\\
find /var/www/mikbill/stat -type f -exec chmod 644 -- {} +
find /var/www/mikbill/stat -type d -exec chmod 755 -- {} +
Владельца файлов:\\
chown apache:apache -R /var/www/mikbill/stat
PS: в debian владельцем web сервера является **www-data**