2009年8月28日 星期五

discuz安全性更新

 

在Discuz官方社區有一位會員發布緊急公告,稱請Discuz用戶檢查網站中是否包含了可供掛馬的Webshell,并稱Discuz官方論壇也未能幸免,被掛馬。而Discuz官方業已發布相關的安全補丁。

帖子內容如下:

更新描述:
        Discuz! 后臺自定義風格功能模塊由于用戶提交數據的合法性判斷不足,造成管理員可以構造特殊數據生成緩存文件。當管理員賬號泄露或者被竊時,將直接威脅論壇的安全使用。
安全威脅:
        中
修補辦法:
        1. 首先下載補丁文件
Discuz_patch_20090818.zip
        2. 在本地解壓縮文件包,根據您目前的版本,選擇相應的文件夾
        3. 將文件夾內的文件上傳至論壇所在服務器,覆蓋原有文件
        4. 使用 FTP 刪除論壇 forumdata/cache/ 目錄里面的所有文件
        5. 訪問您的論壇,此時,論壇會自動更新并生成所有緩存文件

        Discuz! 6.0.0 用戶請注意,如果您更新緩存時出現白屏或者程序錯誤,可能是由于您的程序不是最新 6.0 版本,您需要使用本帖附件中提供的 db_mysql.class.php 覆蓋舊的文件,此文件存放于您的論壇目錄 include/ 中 。覆蓋完畢,即可正常。

重要提示:
        為保障您論壇的安全,更新完畢以后,請進入論壇管理后臺, 使用 工具 --- 文件校驗功能對您的文件進行安全校驗。如在站點目錄中發現多余文件,請即刻刪除。
        如果有文件被修改,請務必確認修改文件的行為是站長自身,否則請使用標準程序進行覆蓋。

沒有留言:

張貼留言