Закрытие security бага в личном кабинете

В файле с открытым кодом pay.php была найдена LFI уязвимость, в совокупности с allow_url_fopen привела к неприятным событиям.

Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!

Скачать архивы backend платежей, Frontend кабинета и распаковать файлы.

cd /var/www/mikbill/stat
wget -O stat_backend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_backend_prerelease.tar
tar xvf stat_backend.tar

wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar
tar xvf stat_frontend.tar
Тем, у кого используется кастомный payment.tpl, необходимо будет адаптировать к фиксу!

Если ЛК у вас вынесен на другой сервер, на него так же нужно поставить фикс Frontend кабинета и прокси файла для платежей:

cd /var/www/mikbill/stat
wget -O stat_frontend.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_prerelease.tar
tar xvf stat_frontend.tar

wget -O stat_proxypay.tar https://wiki.mikbill.ru/_media/bugfix/12062019/stat_front_proxypay.tar
tar xvf stat_proxypay.tar

Если после установки фикса сбились права и владельцы файлов, правим их выполнив:
Права на файлы:

find /var/www/mikbill/stat -type f -exec chmod 644 -- {} +
find /var/www/mikbill/stat -type d -exec chmod 755 -- {} +

Владельца файлов:

chown apache:apache -R /var/www/mikbill/stat

PS: в debian владельцем web сервера является www-data

  • bugfix/12062019/stat.txt
  • Последние изменения: 4 месяц (-ев) назад
  • — Александр Дудяк