Bo-Blog安全通告 20061122
bob 发布于 November 22, 2006 20:59
Bo-Blog2.0程序在某些条件下存在安全隐患。建议您尽快安装安全补丁。
受影响的版本:2.0.x 所有版本
危险等级:高,局部影响
触发条件:
服务器的PHP设置中,register_globals = On。register_globals = Off的情况下不受影响。
解决方法:
2.0.1 SP1用户或者2.0.2 SP2用户:请下载附件中的补丁程序,解压后上传、覆盖原先的文件。
其它版本用户:请先更新到 2.0.1 SP1用户或者2.0.2 SP2 ,然后打补丁,或者在php.ini中关闭register_globals。
鸣谢:
特别鸣谢 tenlin 提供相关线索。
补丁下载:
下载文件
补充:
鉴于今年发现的两个漏洞都是register_globals=On引起,我们建议您关闭register_globals。这也是PHP官方默认的配置。关闭方法:打开php.ini,查找 register_globals = ,将其设置为 Off。这个值设置为On可能带来不安全的隐患。
好吧,这样说难免有推卸责任之嫌。修改如下:程序是在off的条件下开发的,在on的情况下可能出现意想不到的情况。如果您发现了这样的情况,请反馈。
受影响的版本:2.0.x 所有版本
危险等级:高,局部影响
触发条件:
服务器的PHP设置中,register_globals = On。register_globals = Off的情况下不受影响。
解决方法:
2.0.1 SP1用户或者2.0.2 SP2用户:请下载附件中的补丁程序,解压后上传、覆盖原先的文件。
其它版本用户:请先更新到 2.0.1 SP1用户或者2.0.2 SP2 ,然后打补丁,或者在php.ini中关闭register_globals。
鸣谢:
特别鸣谢 tenlin 提供相关线索。
补丁下载:
下载文件 补充:
好吧,这样说难免有推卸责任之嫌。修改如下:程序是在off的条件下开发的,在on的情况下可能出现意想不到的情况。如果您发现了这样的情况,请反馈。
默
Bo-BlogV2.0.3 有这个补丁吗?
January 12, 2007 23:26
巢皮
请问一个问题
可视化编辑器 for Bo-Blog 2.0.x有一个针对2.0.2 SP2的补订文件,该文件和Bo-Blog安全通告 20061122中的文件是都是global.php,请Bo-Blog安全通告 20061122的这个global.php是否包含了修复可视化编辑器 for Bo-Blog 2.0.x BUG的内容呢?
可视化编辑器 for Bo-Blog 2.0.x有一个针对2.0.2 SP2的补订文件,该文件和Bo-Blog安全通告 20061122中的文件是都是global.php,请Bo-Blog安全通告 20061122的这个global.php是否包含了修复可视化编辑器 for Bo-Blog 2.0.x BUG的内容呢?
January 10, 2007 16:15
dreamage
哦,出新版本了,看看去
December 13, 2006 13:20
dreamage
这两个补丁并没有把漏洞补死,在某些条件下unset()完全可以被饶过
December 12, 2006 17:52
xxx
修正了吗"/o\
December 9, 2006 11:17
dreamage
for sp1 的补丁貌似引进了新的问题啊
//Get IP
$ip_tmp=$_SERVER['REMOTE_ADDR'];
$ip_tmp1 = $_SERVER['HTTP_X_FORWARDED_FOR'];
if ($ip_tmp1!= "" && $ip_tmp1!= "unknown") $userdetail['ip']=$ip_tmp1;
else $userdetail['ip']=$ip_tmp;
下面没有了??
//Get IP
$ip_tmp=$_SERVER['REMOTE_ADDR'];
$ip_tmp1 = $_SERVER['HTTP_X_FORWARDED_FOR'];
if ($ip_tmp1!= "" && $ip_tmp1!= "unknown") $userdetail['ip']=$ip_tmp1;
else $userdetail['ip']=$ip_tmp;
下面没有了??
December 8, 2006 18:27
wanguo
我好象弄错了...
但贵blog的安全性有待提高..
但贵blog的安全性有待提高..
December 3, 2006 22:04
wanguo
这个bug是指下面连接中说的么?
http://www.hx99.net/notice/Bug/200606/1207.shtml
http://www.cnbct.org/blog/index.php?op=ViewArticle&articleId=63&blogId=7
如果是的话.
这日志发表日期:
[ 2006年11月22日星期三 20:59 | by bob ]
那bob你收到的消息也太慢了吧...快半年了..不知道有多少博友给"黑"了
http://www.hx99.net/notice/Bug/200606/1207.shtml
http://www.cnbct.org/blog/index.php?op=ViewArticle&articleId=63&blogId=7
如果是的话.
这日志发表日期:
[ 2006年11月22日星期三 20:59 | by bob ]
那bob你收到的消息也太慢了吧...快半年了..不知道有多少博友给"黑"了
December 3, 2006 21:42
流水
建议补丁更换的时候,同时在页面低下更新版本号码
November 26, 2006 20:15
hack988
比较了一下,看到2.0.2的问题在哪里了。不过我想说的是:关register_globals鸟事?一个变量没有初始化而已,另外你这么修补虽然问题不大但在4.3.10以前的php版本上却依然会存在漏洞!
November 24, 2006 00:02
北辰
更新中。。
November 23, 2006 19:45
剑书
升级~~最近广告真TM多
November 23, 2006 14:26
sighs
只好重装了 然后用RSS 2.0导入 还丢了评论
November 23, 2006 12:59
Hity
哈哈 支持
感谢cctv 感谢mtv 感谢bob的补丁
感谢cctv 感谢mtv 感谢bob的补丁
November 23, 2006 12:34
sighs
我从Bo-Blog 2.0.1 RC 2 要怎么升级呢?
升级包(适合 2.0.2 RC 1版本,直接上传覆盖即可)
没有2.0.1 RC 2 的怎么办呢
可以直接使用吗?
升级包(适合 2.0.2 RC 1版本,直接上传覆盖即可)
没有2.0.1 RC 2 的怎么办呢
可以直接使用吗?
November 23, 2006 11:07
j.j.bear
我打了补丁,但是在引用审核里面怎么还是一大堆垃圾引用啊...??每天几百条...
November 23, 2006 10:44
媛。
要多谢海儿的及时通知哦。不知道海儿要发多少消息呢~~辛苦了~
所有为BOB无偿工作的人都辛苦了~
所有为BOB无偿工作的人都辛苦了~
November 23, 2006 08:01
else
呵,我的没事!
November 23, 2006 02:01
mango
谢谢老大,
也谢谢海儿及时告诉我
也谢谢海儿及时告诉我
November 22, 2006 23:40
分页: 1/2 
1 2
1 2
