备份导入增强版
Sitemap For 
Bo-Blog2.0程序在某些条件下存在安全隐患。建议您尽快安装安全补丁。
受影响的版本:2.0.x 所有版本
危险等级:高,局部影响
触发条件:
服务器的PHP设置中,register_globals = On。register_globals = Off的情况下不受影响。
解决方法:
2.0.1 SP1用户或者2.0.2 SP2用户:请下载附件中的补丁程序,解压后上传、覆盖原先的文件。
其它版本用户:请先更新到 2.0.1 SP1用户或者2.0.2 SP2 ,然后打补丁,或者在php.ini中关闭register_globals。
鸣谢:
特别鸣谢 tenlin 提供相关线索。
补丁下载:
下载文件
补充:
鉴于今年发现的两个漏洞都是register_globals=On引起,我们建议您关闭register_globals。这也是PHP官方默认的配置。关闭方法:打开php.ini,查找 register_globals = ,将其设置为 Off。这个值设置为On可能带来不安全的隐患。
好吧,这样说难免有推卸责任之嫌。修改如下:程序是在off的条件下开发的,在on的情况下可能出现意想不到的情况。如果您发现了这样的情况,请反馈。
受影响的版本:2.0.x 所有版本
危险等级:高,局部影响
触发条件:
服务器的PHP设置中,register_globals = On。register_globals = Off的情况下不受影响。
解决方法:
2.0.1 SP1用户或者2.0.2 SP2用户:请下载附件中的补丁程序,解压后上传、覆盖原先的文件。
其它版本用户:请先更新到 2.0.1 SP1用户或者2.0.2 SP2 ,然后打补丁,或者在php.ini中关闭register_globals。
鸣谢:
特别鸣谢 tenlin 提供相关线索。
补丁下载:
下载文件 补充:
好吧,这样说难免有推卸责任之嫌。修改如下:程序是在off的条件下开发的,在on的情况下可能出现意想不到的情况。如果您发现了这样的情况,请反馈。
可视化编辑器 for Bo-Blog 2.0.x有一个针对2.0.2 SP2的补订文件,该文件和Bo-Blog安全通告 20061122中的文件是都是global.php,请Bo-Blog安全通告 20061122的这个global.php是否包含了修复可视化编辑器 for Bo-Blog 2.0.x BUG的内容呢?
http://www.o2z.cn/o2z.28.aspx
新版已经采用初始赋值一个空数组来解决这个问题了。
//Get IP
$ip_tmp=$_SERVER['REMOTE_ADDR'];
$ip_tmp1 = $_SERVER['HTTP_X_FORWARDED_FOR'];
if ($ip_tmp1!= "" && $ip_tmp1!= "unknown") $userdetail['ip']=$ip_tmp1;
else $userdetail['ip']=$ip_tmp;
下面没有了??
但贵blog的安全性有待提高..
http://www.hx99.net/notice/Bug/200606/1207.shtml
http://www.cnbct.org/blog/index.php?op=ViewArticle&articleId=63&blogId=7
如果是的话.
这日志发表日期:
[ 2006年11月22日星期三 20:59 | by bob ]
那bob你收到的消息也太慢了吧...快半年了..不知道有多少博友给"黑"了