Закрытие security бага в личном кабинете
В файле с открытым кодом pay.php была найдена LFI уязвимость, в совокупности с allow_url_fopen привела к неприятным событиям.
Установка
Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!
Скачать архивы backend платежей, Frontend кабинета и распаковать файлы.
cd /var/www/mikbill/stat wget -O stat_backend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_backend_prerelease.tar tar xvf stat_backend.tar wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar tar xvf stat_frontend.tar
Лк на внешнем сервере
Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!
Если ЛК у вас вынесен на другой сервер, на него так же нужно поставить фикс Frontend кабинета и прокси файла для платежей:
cd /var/www/mikbill/stat wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar tar xvf stat_frontend.tar wget -O stat_proxypay.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_proxypay.tar tar xvf stat_proxypay.tar
Исправление прав и владельца
Если после установки фикса сбились права и владельцы файлов, правим их выполнив:
Права на файлы:
find /var/www/mikbill/stat -type f -exec chmod 644 -- {} + find /var/www/mikbill/stat -type d -exec chmod 755 -- {} +
Владельца файлов:
chown apache:apache -R /var/www/mikbill/stat
PS: в debian владельцем web сервера является www-data