動(dòng)易2006SP6安全更新(2007-11-20)
漏洞編號(hào):PEAS20071120
危害程度:極嚴(yán)重
影響版本:動(dòng)易4.03、2005、2006 所有版本(包括免費(fèi)版、商業(yè)SQL版及Access版),正式版、SP1、SP2、SP3、SP4、SP5、SP6都受此影響。2007-11-20 13:00以后從官方下載的系統(tǒng)不存在此漏洞。
漏洞描述:因?yàn)閯?dòng)易系統(tǒng)的API/ApiResonse.asp及用戶后臺(tái)有幾個(gè)文件存在著注入漏洞。黑客可以通過(guò)偽造的數(shù)據(jù)進(jìn)行注入攻擊,然后可得到WebShell權(quán)限。
解決方法:(以下兩步必須都要做)
第一步、下載官方組件進(jìn)行更新。如果是虛擬主機(jī)用戶,請(qǐng)聯(lián)系主機(jī)商進(jìn)行更新。一臺(tái)服務(wù)器只要更新了最新組件,主機(jī)上的所有用戶都會(huì)受到保護(hù)。為了您的網(wǎng)站安全,最好在更新了組件后,重新將所有管理員的密碼、管理認(rèn)證碼都改一下。如果主機(jī)商暫時(shí)不能更新組件,可以先刪除網(wǎng)站的User目錄來(lái)防止黑客利用此漏洞。
第二步、下載此補(bǔ)丁文件,解壓后上傳覆蓋掉原始文件。
組件下載:http://www.hxtiyu66.com/Soft/PE_soft/3139.html
補(bǔ)丁文件:http://download.powereasy.net/PowerEasy2006/PowerEasy_2006SP6_S20071120.rar
如何檢查是否已經(jīng)安裝了最新組件?
包含此漏洞補(bǔ)丁的最新組件版本為1.8.6或以上。如果低于此版本,則意味著有此漏洞。
PS:
這將是動(dòng)易2006版的最后一個(gè)安全更新,以后動(dòng)易2006版就將以開(kāi)源形式進(jìn)行運(yùn)營(yíng)。這個(gè)安全更新是在2007-10-30發(fā)布的安全更新基礎(chǔ)上,我們與國(guó)內(nèi)的安全組織BCT一起,對(duì)2006版進(jìn)行初步代碼審計(jì)發(fā)現(xiàn)的結(jié)果。未來(lái)動(dòng)易將投入巨資請(qǐng)相關(guān)安全組織對(duì)動(dòng)易的開(kāi)源版本的代碼進(jìn)行安全審計(jì),以確保開(kāi)源版本中盡可能減少存在的漏洞,確保用戶的網(wǎng)站安全不受開(kāi)源的影響。
用戶登錄
還沒(méi)有賬號(hào)?
立即注冊(cè)