Discuz! X 高危安全漏洞，請(qǐng)各位站長(zhǎng)盡快修復(fù)

dashen

尊敬的 Discuz! X 用戶，您好！

近日，Discuz! 安全中心發(fā)現(xiàn)一個(gè)高風(fēng)險(xiǎn)安全問(wèn)題，**本安全問(wèn)題將導(dǎo)致部分站點(diǎn)存在安全隱患**。通過(guò)特殊配置或設(shè)計(jì)的請(qǐng)求可以通過(guò)特定方式非法控制賬號(hào)。

**在此希望更多的安全人員加入到維護(hù) Discuz! X 程序安全的工作中來(lái)。**

漏洞詳情

技術(shù)細(xì)節(jié)詳見(jiàn)：https://paper.seebug.org/1144/

安全補(bǔ)丁詳見(jiàn): https://gitee.com/Discuz/DiscuzX/pulls/1315

風(fēng)險(xiǎn)等級(jí)

高

影響版本
Discuz! X3.1 至 Discuz! X3.4 Release 20211022

安全版本
Discuz! X3.4 Release 20211124

修復(fù)建議

1. 目前官方已修復(fù)該漏洞，建議受影響的用戶盡快升級(jí)至最新版本：https://gitee.com/Discuz/DiscuzX/attach_files
2. 無(wú)法升級(jí)最新版本的用戶，可以參考 https://gitee.com/Discuz/DiscuzX/pulls/1315 修改站點(diǎn)文件。

【備注】：建議您在升級(jí)前做好數(shù)據(jù)備份工作，測(cè)試并評(píng)估業(yè)務(wù)運(yùn)行狀況，避免出現(xiàn)意外

更詳細(xì)的內(nèi)容請(qǐng)閱讀下方的 Discuz! X 安全公告 進(jìn)行了解。

dashen

附件1：安全公告全文

Discuz! X 安全公告

【2021】第 2 號(hào)

2021 年 12 月 12 日

問(wèn)題簡(jiǎn)述

近日，Discuz! 安全中心發(fā)現(xiàn)一個(gè)高風(fēng)險(xiǎn)安全問(wèn)題，**本安全問(wèn)題將導(dǎo)致部分站點(diǎn)存在安全隱患**。通過(guò)特殊配置或設(shè)計(jì)的請(qǐng)求可以通過(guò)特定方式非法控制賬號(hào)。

請(qǐng)各位各位站長(zhǎng)、站點(diǎn)管理運(yùn)維人員**盡快推動(dòng)所涉及軟件的版本更新**，如無(wú)法升級(jí)也請(qǐng)參考相關(guān)指導(dǎo)對(duì)軟件進(jìn)行修補(bǔ)，保障站點(diǎn)安全。

**由于本安全問(wèn)題給您造成的不便我們深感歉意，并感謝各位站長(zhǎng)、站點(diǎn)管理運(yùn)維人員對(duì)我們的理解與支持。**

**也希望更多的安全人員加入到維護(hù) Discuz! X 程序安全的工作中來(lái)。**

受影響的軟件版本

Discuz! X 軟件

Discuz! X3.1 至 Discuz! X3.4 Release 20211022

Discuz! X3.4 截至 2021 年 11 月 24 日的全部每日構(gòu)建版本和開(kāi)發(fā)版本

Discuz! X3.5 截至 2021 年 11 月 24 日的全部每日構(gòu)建版本和開(kāi)發(fā)版本

**上述軟件中只有 Discuz! X3.4 Release 20211022 處于非 EOL 狀態(tài)，其他涉及的 Release 版本均已 EOL ，不再進(jìn)行維護(hù)。**

常見(jiàn)問(wèn)題解答

Q: 對(duì)于未涉及到的軟件或版本是否應(yīng)該繼續(xù)運(yùn)行？

A: 未涉及到的軟件或版本（包括但不限于 Discuz! X / Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系，**但不含 Discuz! Q**）**軟件均已處于 EOL 狀態(tài)，不再進(jìn)行維護(hù)，且近期已發(fā)現(xiàn)多個(gè)涉及相關(guān)軟件的中低風(fēng)險(xiǎn)安全問(wèn)題并已在最新版本給予修復(fù)**。同時(shí) Discuz! X3.4 近期也提供了大量新功能改進(jìn)、用戶體驗(yàn)提升、安全性提升、 BUG 修復(fù)等，包括但不限于應(yīng)對(duì)內(nèi)容安全相關(guān)問(wèn)題進(jìn)行的內(nèi)容重新審核功能以及內(nèi)容安全功能兜底提升，應(yīng)對(duì) FLASH 停止維護(hù)所提供的 HTML5 附件上傳、HTML5 多媒體播放功能，以及對(duì) HTTPS 支持等功能進(jìn)行優(yōu)化等。并且 Discuz! X3.4 具有較好的環(huán)境兼容性，可以同時(shí)支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本，兼容絕大多數(shù)原 X3 之后發(fā)布的插件和模板。**因此如您暫未有停止運(yùn)營(yíng)計(jì)劃，建議您安排版本升級(jí)，以最大限度保障站點(diǎn)安全以及提高用戶體驗(yàn)。**

Q: 對(duì)于此安全漏洞建議如何處理？

A: 本安全漏洞涉及 Discuz! X3.1 至 Discuz! X3.4 Release 20211022 版本，**相關(guān)站點(diǎn)存在被盜取用戶賬號(hào)的風(fēng)險(xiǎn)**，需要盡快升級(jí)解決問(wèn)題。在此建議您**升級(jí)到 Discuz! X3.4 Release 20211124**。相關(guān)軟件可以從 https://gitee.com/Discuz/DiscuzX 下載。

Q: 如何進(jìn)行標(biāo)準(zhǔn)升級(jí)操作？

A: 如您使用的是 Discuz! X3.1 或更高版本，請(qǐng)**使用 Discuz! X3.4 Release 20211124 對(duì)應(yīng)語(yǔ)言對(duì)應(yīng)編碼的軟件覆蓋您當(dāng)前使用的軟件**。

Q: 如果無(wú)法進(jìn)行版本升級(jí)該如何處理？

A: 如站點(diǎn)是涉及到的軟件版本且無(wú)法進(jìn)行版本升級(jí)，也請(qǐng)按照 https://gitee.com/Discuz/DiscuzX/pulls/1315 以及其他相關(guān)代碼修改對(duì)站點(diǎn)進(jìn)行修復(fù)。另外也可以參考其他安全相關(guān) commit 對(duì)其他安全問(wèn)題進(jìn)行加固。

技術(shù)細(xì)節(jié)

技術(shù)細(xì)節(jié)詳見(jiàn)：https://paper.seebug.org/1144/

安全補(bǔ)丁詳見(jiàn): https://gitee.com/Discuz/DiscuzX/pulls/1315

安全提示

我們強(qiáng)烈建議您使用仍在相關(guān)軟件開(kāi)發(fā)團(tuán)隊(duì)支持期內(nèi)的操作系統(tǒng)、 Web 服務(wù)器、 PHP 、數(shù)據(jù)庫(kù)、內(nèi)存緩存等軟件，超出支持期的軟件可能會(huì)對(duì)您的站點(diǎn)帶來(lái)未知的安全隱患。

Discuz! X 以及 UCenter 軟件當(dāng)前 Release 版本發(fā)布規(guī)則為當(dāng)前大版本下有新的 Release 版本發(fā)布時(shí)，之前的 Release 版本將自動(dòng)處于 EOL 狀態(tài)，不再進(jìn)行維護(hù)，請(qǐng)站點(diǎn)在新版本發(fā)布后主動(dòng)更新到新的 Release 版本。

請(qǐng)各位站長(zhǎng)、站點(diǎn)管理運(yùn)維人員以及插件、模板開(kāi)發(fā)者保持對(duì) Discuz! X 官方 Git 倉(cāng)庫(kù) https://gitee.com/Discuz/DiscuzX 的關(guān)注，以便在安全漏洞發(fā)生時(shí)可進(jìn)行修補(bǔ)，讓自己的站點(diǎn)時(shí)刻保持最安全的狀態(tài)！

Discuz! X 安全中心

2021 年 12 月 12 日

3050075638

還是得及時(shí)升級(jí)呀，不升級(jí)應(yīng)用中心都不給我用

螞蟻?zhàn)?/a>

支持一下。不錯(cuò)。

qq546456580

感謝分享

qq546456580

感謝分享

qwexiamen

謝謝分享

服務(wù)器租用_迅恒老楊?

好的 收到