精品人妻少妇无码视频_哦中亚洲黄片免费在线。_欧美在线看片a免费观看_久久91精品福利视频

目錄
目錄X

動易2006SP6安全更新(2007-8-28)

漏洞編號:PEAS20070827

危害程度:

影響版本:動易4.03、2005、2006 所有版本(包括免費版、商業(yè)SQL版及Access版),正式版、SP1、SP2、SP3、SP4、SP5、SP6都受此影響。

漏洞描述:因為動易系統(tǒng)的用戶發(fā)表文章、軟件、圖片、留言、短消息等功能支持HTML,雖然動易在保存相關內容時對跨站腳本攻擊進行了過濾,但過濾函數存在著一個漏洞,致使攻擊者可以通過在內容中輸入特殊設計的攻擊腳本,提交后,管理員在查看這些內容時,跨站攻擊腳本就會運行,將管理員用戶名、密碼加密值、管理認證碼發(fā)送到攻擊者指定的頁面。如果你的網站沒有啟用這些功能,則是安全的。

跨站腳本攻擊已經是目前除了注入漏洞攻擊外最為常用的攻擊方式,其攻擊方式非常靈活多變,因而對跨站腳本攻擊的防范則相當困難,幾乎目前所有支持HTML的系統(tǒng)都或多或少存在這方面的漏洞。動易CMS2007在這方面做了大量的工作,對跨站腳本進行了嚴密的過濾,可以有效的防范跨站腳本攻擊。

我們在發(fā)現此漏洞后,將動易2006版的相關過濾函數重新寫了一遍,將動易CMS2007中的相關算法部分移植了過來(因為ASP.NET和ASP的不同,在ASP.NET中的有些功能無法在ASP中實現,所以只是部分移植了過來)。

解決方法:下載官方組件進行更新。如果是虛擬主機用戶,請聯(lián)系主機商進行更新。一臺服務器只要更新了最新組件,主機上的所有用戶都會受到保護。為了您的網站安全,最好在更新了組件后,重新將所有管理員的密碼、管理認證碼都改一下。

補丁文件:http://www.jam-production.com/Soft/PE_soft/236.html

如何檢查是否已經安裝了最新組件?

包含此漏洞補丁的最新組件版本為1.8.3或以上。如果低于此版本,則意味著有此漏洞。

PS:本次漏洞更新中附帶著修復了一些SP6存在的小BUG。因為都是一些很少見的小BUG,就不一一列舉了。

2007-8-28對組件進行了更新(版本號為1.8.4),修復了1.8.3版本的組件中的一個問題:

安裝1.8.3版本的組件后,會造成文章內容中的Flash、視頻文件無法播放。因為),而目前我們沒有好的辦法區(qū)分正常的視頻代碼還是惡意攻擊代碼,所以在1.8.3的過濾函數中過濾掉了這些代碼。

最新的1.8.4版本的組件修改了處理方式,由1.8.3的保存和顯示時都過濾,改為只在會員后臺保存時過濾,前臺顯示及管理員錄入時不再過濾。管理員查看時會判斷是否是管理員錄入的,如果是,則不過濾,如果是會員錄入的,則過濾。這樣的設計可以解決大部分可用性問題,但會存在著一些小小的安全隱患。沒有辦法,只能在可用性和安全之間進行取舍和平衡了。

【打印正文】 發(fā)布時間:2007-08-28 18:00:13 瀏覽次數: 作者:webboy 來源:本站原創(chuàng)
×

用戶登錄