Discuz! 官方交流社區
標題: 網上說的這個 UC 安全問題到底要不要修復,官方目前未修改 [打印本頁]
作者: zhansh 時間: 2022-1-1 10:54
標題: 網上說的這個 UC 安全問題到底要不要修復,官方目前未修改
Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上傳執行漏洞修復 (阿里云熱修復補丁):
介紹:在Discuz中,uc_key是UC客戶端與服務端通信的通信密鑰,discuz中的/api/uc.php存在代碼寫入漏洞,導致黑客可寫入惡意代碼獲取uckey,最終進入網站后臺,造成數據泄漏。
漏洞名稱:
Discuz uc.key泄露導致代碼注入漏洞
站長報告:已有網站中招后/uc_server/data/tmp被上傳shell
補丁效果:目前已排除風險。
站長報告漏洞文件路徑:/api/uc.php
手工修復方案:
編輯:
/api/uc.php
查找:(39行)
require_once '../source/class/class_core.php';
復制代碼
修改為:
require_once '../source/class/class_core.php'; if (method_exists("C","app")) { $discuz = C::app(); $discuz->init(); }
復制代碼
查找:(273行)
function updateapps($get, $post) {
復制代碼
修改為:
function updateapps($get, $post) { if($post['UC_API']) { $post['UC_API'] =addslashes($post['UC_API']); }
復制代碼
提示:千萬別信dz應用中心的那個誰"無視阿里云,很早很早以前就修復了",阿里云安騎士專業版提供的修復方案,放心使用。
作者: 老周部落 時間: 2022-1-1 14:10
https://gitee.com/Discuz/DiscuzX/issues/ICA2J
根據這個,2017年就修復過了。最近又修復了點別的,如果您還沒升級今年11月的版本建議直接升級20211231版本就行了。
作者: zhansh 時間: 2022-1-1 15:58
好的,謝謝老周朋友!
作者: Killer 時間: 2022-1-1 18:24
提示:千萬別信dz應用中心的那個誰"無視阿里云,很早很早以前就修復了",阿里云安騎士專業版提供的修復方案,放心使用。
不要信應用中心,那信誰?信阿里云推薦使用他們的什么安全騎士?還是什么?2017年就修復過的問題,被拿來危言聳聽,不知道起源于何處……
作者: ysx24 時間: 2022-1-1 21:51
Killer 發表于 2022-1-1 18:24
不要信應用中心,那信誰?信阿里云推薦使用他們的什么安全騎士?還是什么?2017年就修復過的問題,被拿來 ...
安騎士我都卸載了,沒什么用還占用進程和內存,特別進程占的高的離譜,屏蔽阿里安騎士和屏蔽阿里ip后,進程再也沒高過
作者: zhansh 時間: 2022-1-2 19:39
轉帖的網上的,謝謝答疑!
| 歡迎光臨 Discuz! 官方交流社區 (http://www.9999xn.com/) |
Powered by Discuz! W1.0 |