安全公告:Discuz! 存在 SQL 注入漏洞,会员可任意提升权限(2006年8月28日)

上一篇 / 下一篇  2006-10-29 23:23:25

查看( 1280 ) / 评论( 43 )
原帖地址:http://www.freediscuz.net/bbs/viewthread.php?tid=1078SupeSite/X-Space官方站!k#n A4MA|&Y3T7[

0IG a%a~A]0

安全公告:Discuz! 存在 SQL 注入漏洞,会员可任意提升权限

vfnG,m5`0
z D*K s%y!TF0漏洞说明
(c;d!y\x:^+fJ[0==============================================
+e3Xa(w+?o0【漏洞类型】:  SQL 注入SupeSite/X-Space官方站&kXq FX
【危险等级】
.`P,N2}%m,t5LZ+R0【涉及版本】:Discuz! 4.0.0 Discuz! 4.1.0SupeSite/X-Space官方站![POXi/ft JrO1Z
【漏洞描述】
Q S0b(CWY0          此漏洞源于新近发现的 PHP5 GPC 过滤错误,具体内容可参见 xfocus.net 安全焦点SupeSite/X-Space官方站n Q.\G'aB'n
          由于 Discuz! 对于$_SERVER 数据没有进行严格过滤,可导致用户使用特殊工具伪造非法数据并注入 SQL 语句,获取论坛管理员权限。
5?D? i[(A0          虽然 PHP 此漏洞仅仅限于 PHP5 版本的服务器环境,但是经过 Freediscuz! 团队成员测试, PHP4 用户同样受到此漏洞威胁,且经过测试,此漏洞亦威胁 PHPWIND 论坛程序。提醒广大论坛管理员尽快进行漏洞修补。SupeSite/X-Space官方站lsu)wRrFM1F3n
          经过测试,以下Discuz!用户不受此漏洞影响
"^ E b T!J/M R&S0         使用过 0801 补丁 的用户不受影响
ir[ Y$U s Q0         全新安装 Discuz!_4.1.0_SC_GBK 0810 FD修补版 的用户以及 Lite Beta 2 用户不受影响SupeSite/X-Space官方站4iFSM#v
    SupeSite/X-Space官方站&RR,b]vuz:Hp
          Discuz! 5.0 RC1, RC2 用户不受影响SupeSite/X-Space官方站6T~:|L5u fb

!DLq]$|u5O K0修补办法
o!r/g8_-N*zD3eT0        SupeSite/X-Space官方站B:`1u1H6x v
          尽快升级论坛至 Discuz! 5.0 RC2。
kX,] q$pK+X-Z9m0         对于不想进行论坛升级的用户,请使用本站发布的 Discuz! 4.1.0 补丁
&E&[{PN;I0          全新安装用户可以下载 Discuz! 5.0 RC2 或者 Discuz!_4.1.0_SC_GBK 0810 FD修补版SupeSite/X-Space官方站RhF4N'tDkl2S
备注说明
ST7U| XP0          由于该漏洞属于高危险级别的安全漏洞,且涉及用户数量较大,为保证多数用户的安全和利益,我们决定不公布修补该漏洞的手工方法,以免被他人利用。Freediscuz 亦不会公布具体攻击办法和漏洞细节,有此意向的用户请勿骚扰 Freediscuz Team 成员。SupeSite/X-Space官方站i5w(wx*K/|:fnD7a

.`Opa1O pP0修补下载SupeSite/X-Space官方站 jS,J)[7f5J
==============================================SupeSite/X-Space官方站9]`;Y O]
补丁包下载http://www.freediscuz.net/bbs/attachment.php?aid=381SupeSite/X-Space官方站"\)G3g+R V Sw
全新安装下载http://www.freediscuz.net/bbs/viewthread.php?tid=750SupeSite/X-Space官方站B.Sq~1GzE
==============================================SupeSite/X-Space官方站Z C7L1Il7Mhy%[)M

!J7_)N$].@6m'~K0SupeSite/X-Space官方站]o.S6P#\+G!C
FreeDiscuz! TeamSupeSite/X-Space官方站8i,g"A%n`8K v UW
2006年8月28日
]0h4[VDitcy7y0SupeSite/X-Space官方站6r sy0fG^q
[ 本帖最后由 Clwarm 于 2006-8-28 23:19 编辑 ]

论坛模式 推荐 收藏 分享给好友 管理

TAG:

泡海椒罐罐 泡海椒 发布于2006-08-28 23:17:57

禄林网络的个人空间 禄林网络 发布于2006-08-28 23:18:08

QUOTE:

AD广告位 看我签名php,论坛,bbs,免费,软件L i(Pm6?"n
y

i4E}9S]!n#K'FLPHP|BBS|论坛域名注册,看我签名,价格
I jbY \"wc1vl,\"MPHP|BBS|论坛
n%NschcSupeSite/X-Space官方站
A1T#E+N(UADiscuz! 免费论坛软件空间出售: www.lulin-idc.com
php,论坛,bbs,免费,软件`L7B8L(qf~3^2Q

.t4}        m`+O)O8zDiscuz! 免费论坛软件[ 本帖最后由 禄林网络 于 2006-8-28 23:24 编辑 ]
泡海椒罐罐 泡海椒 发布于2006-08-28 23:18:16

欢迎来到!【主站-www.2getherhappy.net】 Seika 发布于2006-08-28 23:18:31

禄林网络的个人空间 禄林网络 发布于2006-08-28 23:18:45
前排
禄林网络的个人空间 禄林网络 发布于2006-08-28 23:19:03
AD位出售
韩迷社区 laohe121 发布于2006-08-28 23:19:23

禄林网络的个人空间 禄林网络 发布于2006-08-28 23:19:26
4.1 还是个经典版本
kevin's blog 第5季 发布于2006-08-28 23:20:02

禄林网络的个人空间 禄林网络 发布于2006-08-28 23:20:15
好帖
贝贝(51maya.cn)的个人空间 贝贝(51maya.cn) 发布于2006-08-28 23:20:24
这个我早就知道了,所以很早就升了
veblen的个人空间 veblen 发布于2006-08-28 23:20:45

Hunter's dock SilentHunter 发布于2006-08-28 23:21:40
强帖没留上名。。。
dulang的个人空间 dulang 发布于2006-08-28 23:21:41

ameter的个人空间 ameter 发布于2006-08-28 23:23:51

ameter的个人空间 ameter 发布于2006-08-28 23:25:29

Freddie's 的个人博客 AgFx 发布于2006-08-28 23:26:18
支持~~!
蚂蚁天下个人空间 湖漫的鱼 发布于2006-08-28 23:28:07
Discuz! 5.0 RC1, RC2 用户不受影响PHP|BBS|论坛pi"DB:U"QYh4bOE

Clwarm's Own Space Clwarm 发布于2006-08-28 23:29:17
回复 #19 湖漫的鱼 的帖子
D5都把这个修复了
meyu的个人空间 meyu 发布于2006-08-28 23:29:56
4.0有漏洞没?
我来说两句

(可选)

Open Toolbar