Через три дня после выхода релиза свободной системы управления web-контентом e107 0.7.17 (http://e107.org/), в коде проекта была обнаружена (http://seclists.org/bugtraq/2010/Jan/217) троянская вставка, позволяющая выполнить любой код на сервере. При получении запроса в котором фигурирует cookie c именем access-admin и значением "cf1afec15669cb96f09befb7d70f8bcb", осуществляется запуск программы, путь к которой предан через параметр "cmd",  или выполнение PHP кода, заданного в переменной "php".

Судя по всему, архив e107 был модифицирован после релиза, так как время модификации файла class2.php, в котором присутствует злонамеренный код, указывает на вечер 23 января, а релиз вышел 22 января. Проблему усугубляет то, что в версии  0.7.17 была устранена (http://e107.org/comment.php?comment.news.856) опасная уязвимость и всем пользователям было рекомендовано немедленно произвести обновление.

URL: http://seclists.org/bugtraq/2010/Jan/217
Новость: http://www.opennet.me/opennews/art.shtml?num=25151

• В системе управления контентом e107 обнаружен троянский код,Аноним, 12:10 , 26-Янв-10
• В системе управления контентом e107 обнаружен троянский код,Аноним, 12:26 , 26-Янв-10
  • В системе управления контентом e107 обнаружен троянский код,Онаним, 13:00 , 26-Янв-10
    • В системе управления контентом e107 обнаружен троянский код,User294, 14:38 , 26-Янв-10
    • В системе управления контентом e107 обнаружен троянский код,Demimurych, 15:28 , 26-Янв-10
      • В системе управления контентом e107 обнаружен троянский код,koblin, 17:41 , 26-Янв-10
        • В системе управления контентом e107 обнаружен троянский код,Demimurych, 20:50 , 26-Янв-10
        • В системе управления контентом e107 обнаружен троянский код,Demimurych, 20:52 , 26-Янв-10
• В системе управления контентом e107 обнаружен троянский код,koffu, 12:38 , 26-Янв-10
• В системе управления контентом e107 обнаружен троянский код,Bocha, 12:58 , 26-Янв-10
• В системе управления контентом e107 обнаружен троянский код,koblin, 13:30 , 26-Янв-10
• В системе управления контентом e107 обнаружен троянский код,be_nt_all, 14:13 , 26-Янв-10
• В системе управления контентом e107 обнаружен троянский код,be_nt_all, 22:06 , 26-Янв-10
• В системе управления контентом e107 обнаружен троянский код,iZEN, 02:06 , 27-Янв-10
  • В системе управления контентом e107 обнаружен троянский код,Яваноним, 03:54 , 27-Янв-10
  • В системе управления контентом e107 обнаружен троянский код,аноним, 06:35 , 27-Янв-10
  • В системе управления контентом e107 обнаружен троянский код,hate, 09:24 , 27-Янв-10
    • В системе управления контентом e107 обнаружен троянский код,masters, 10:16 , 27-Янв-10
      • В системе управления контентом e107 обнаружен троянский код,Зилибоба, 13:37 , 27-Янв-10
        • В системе управления контентом e107 обнаружен троянский код,Stesh, 21:07 , 09-Фев-10

Так у них даже сайт похаканый. Смотрим исходники главной страницы.

Перейдите по ссылке на основной сайт и посмотрите исходный код страницы - это ужас. Виагра и прочее...

Сейчас чисто...

Пиарятся парни походу... Ведь никто не знал, что есть еще одна мега CMS на php & MySQL, а теперь все знать будут. :)

Какой же камикадзе будет ставить себе CMS с троянами и поломаным сайтом? :)

Вы не правы.

Это CMS если, не ошибаюсь в сроках, два года назад, была  в тройке лидеров CMS написанных на php

а года 4 назад, считалась самой безопасной.

не знаю что там с безопасность, но где-то как раз года 4 назад у знакомого ломали сайт на е107 буквально раз в неделю, пока не мигрировал на drupal

Это легко сравнить по налицичю в паблики сплоитов. В e107 его на порядок меньше.
Конечно это было обусловлено в том числе и тем, что ситсема была еще крайне простой.

Ну и коненчно Вы понимаете, что часто безопасность системы зависит не от системы, а от прослойки между клавиатурой и стулом.

Я не агетирую за e107. Более того считаю ее беусловно более слабой чем drupal, просто констатирую факт.

Может сама CMS и ничего, но внедрить в неё свой код - лакомый кусочек.

Долго юзал эту ЦМСку, она ничего, но развивается как-то уж больно медленно.

ужасная и бажная cms

e107 - PHPNuke с урезанными возможностями, но таким же страшным кодом... Худшая мало-мальски популярная OpenSource CMS, которую я видел.

Если кому то нужна OpenSource портального типа похожая на e107, но поровнее и понадёжнее, обратите внимание на memHT (http://www.memht.com/) и ImpressCMS (http://www.impresscms.org/). Вторая - самая многообещаюшая CMS 2009 года (по результатам Open Sourse CMS Award)

А зачем нужны CMS?
На Java нет ни одной, и ведь живут же люди.

> На Java нет ни одной, и ведь живут же люди.

Чо вы брешете то? :) Как минимум я одну знаю - http://www.jahia.org/cms

>А зачем нужны CMS?
>На Java нет ни одной, и ведь живут же люди.

на COBOL-е нет ни одной CMS-ки, и ведь живут же люди.
честно, iZEN, ты уже достал со своей жавой, но пишешь ты на ней, вот и пиши, чего об этом на каждом углу то орать?

>А зачем нужны CMS?
>На Java нет ни одной, и ведь живут же люди.

Не ври. Навалом.

Очень сильная штука - http://opencms.org/en/

>>А зачем нужны CMS?
>>На Java нет ни одной, и ведь живут же люди.
>
>Не ври. Навалом.
>
>Очень сильная штука - http://opencms.org/en/

На ассемблере нет ни одной, уж это точно )))

На коболе и фортране тоже нет...

Будет ;)