Уязвимости DLE

Система управления контентом сайта Data Life Engine является коммерческим «движком». Первые версии были достаточно уязвимы, но начиная с 9.x версий, создатели ПО значительно повысили уровень безопасности. Ниже приведены основные уязвимости CMS DLE.

Определение версии

Проблема

Посылая серверу определенный код в строке запроса, можно узнать версию установленного движка.
“dle_site.ru/engine/ajax/updates.php”

Решение

Уязвимость была устранена разработчиками в одной из версий 8.х
Казалось бы, ничего страшного в этом нет, но зная версию установленного у вас ПО, злоумышленник четко определяет какие «дыры» ему доступны, а какие — нет.

Уязвимость модуля Minify

Сразу стоит отметить, что это не столько уязвимость движка DLE, сколько уязвимость самого модуля Minify.

Проблема

Некорректная обработка (фильтрация) в модуле во время сжатия данных приводит к тому, что при определенных настройках сервера, злоумышленник может получить доступ к содержимому файлов — например, dbconfig.php, в котором хранится важная информация.  
Данная уязвимость присутствует во всех версиях движка: 8.5-10.

Решение

• Необходимо отредактировать файл index.php ( путь - «/engine/classes/min» ) следующим образом:
      if (isset($_GET['f'])) {
       $_GET['f'] = str_replace(chr(0), '', (string)$_GET['f']);
      }
• В этой же директории нужно создать файл .htaccess с внутренним кодом, который запрещает загрузку сюда какой-либо другой версии index.php.
• Такой же файл нужно создать в «/engine/classes». Только у него будут несколько иные задачи — запрещать загрузку любых файлов с расширением .php, cgi, plp, html.
Внимание! После применения исправлений, у вас может не работать функция добавления и редактирования новостей. После очистки кэша, все вернется к прежнему виду.
Итак, если на ваших ресурсах используется библиотека Minify, стоит обновить ее до последней версии и защитить сервер с помощью файлов .htaccess

Чтение конфигурационных данных

Проблема

Отправляя серверу, в адресной строке вот такой джет:
“dle_site.ru/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js”
злоумышленник получает «на выходе» данные от myAdmin.

Решение

Уязвимость была устранена разработчиками в 10 версии «движка».

Как видите, большинство уязвимостей отслеживается разработчиками, и вовремя устраняется. Это говорит о том, что наилучшим способом обезопасить себя, будет регулярное обновление установленного ПО и мониторинг специализированных ресурсов Сети на предмет обнаружения новых «дыр» в безопасности.

А как вы боретесь с проблемами уязвимости dle? Волнуют они вас?

Какой движок у сайта https://galior-market.ru/ подскажите пожалуйста. Самописный??