Discuz! X & UCenter出現(xiàn)高風險安全漏洞，請各位站長盡快修復！

dashen

尊敬的 Discuz! X 用戶，您好！

近日，Discuz!安全中心監(jiān)測到一個UCenter的高風險安全問題，可能會導致部分站點無法正確統(tǒng)計登錄失敗次數(shù)，導致站點存在被密碼爆破的風險。通過特殊配置或設計的程序可以通過無限次數(shù)破解密碼的方式非法控制賬號。

漏洞詳情
在 Discuz! X3.2 Release 20141225 版本以及同期發(fā)布的 UCenter 軟件中，開發(fā)了一個部分生效的 “允許用戶登錄失敗次數(shù)” 功能，但此功能未完整開發(fā)之后僅僅注釋了界面上的功能項，后續(xù)版本也沒有繼續(xù)開發(fā)，導致部分站點的 login_failedtime 在 UCenter 后臺基本設置處保存時被設置成 0 ，而由于不同功能項對 0 的處理方式有差異導致系統(tǒng)內對此情況的處理手段是不記錄登錄失敗次數(shù)而在提示信息中固定返回 4 次，導致漏洞發(fā)生，所以如果你的網(wǎng)站輸錯密碼不管多多少次都提示還可以嘗試4次，那么請立即更新修復。

Discuz! X安裝時，默認不會觸發(fā)這個漏洞，只有當管理員進入UCenter，設置保存UCenter設置時，才會導致 login_failedtime  被設置為0，從而觸發(fā)漏洞。

風險等級
高

影響版本

Discuz! X 2014年12月25日 至 2021年6月28日 之間的所有版本（X3.2、X3.3、X3.4、X3.5）

單獨使用UCenter的用戶請參照上述日期比對文件

您可以到應用中心下載“2021年6月新漏洞專項檢測修復工具”，查看自己的站點是否已受到了影響。

安全版本

2021-06-29 及以后的 Discuz! X 和 UCenter

修復建議

1. 目前官方已修復該漏洞，建議受影響的用戶盡快升級至最新版本：https://gitee.com/Discuz/DiscuzX/attach_files
2. 無法升級最新版本的用戶，可以先運行“2021年6月新漏洞專項檢測修復工具”修復出錯的數(shù)據(jù)，并參考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站點文件。
【備注】：建議您在升級前做好數(shù)據(jù)備份工作，測試并評估業(yè)務運行狀況，避免出現(xiàn)意外

更詳細的內容請閱讀下方的 Discuz! X 安全公告 進行了解。

dashen

附件1：安全公告全文

Discuz! X 安全公告

【2021】第 1 號

2021 年 06 月 29 日

問題簡述

現(xiàn)已發(fā)現(xiàn)一個高風險安全問題，可能會導致部分站點無法正確統(tǒng)計登錄失敗次數(shù)，導致站點存在被密碼爆破的風險。通過特殊配置或設計的程序可以通過無限次數(shù)破解密碼的方式非法控制賬號。

請各位各位站長、站點管理運維人員盡快推動所涉及軟件的版本更新，如無法升級也請參考相關指導對軟件進行修補，保障站點安全。

由于本安全問題給您造成的不便我們深感歉意，并感謝各位站長、站點管理運維人員對我們的理解與支持。

受影響的軟件版本

UCenter 1.6.0 在 2014 年 12 月 25 日至 2021 年 06 月 27 日間發(fā)布的全部版本

UCenter 1.7.0 截至 2021 年 6 月 28 日的全部每日構建版本和開發(fā)版本

Discuz! X3.2 Release 20141225 以及更高版本

Discuz! X3.3 全部已發(fā)布的 Release 版本

Discuz! X3.4 Release 20210520 以及更低版本

Discuz! X3.4 截至 2021 年 6 月 27 日的全部每日構建版本和開發(fā)版本

Discuz! X3.5 截至 2021 年 6 月 28 日的全部每日構建版本和開發(fā)版本

上述軟件中只有 UCenter 1.6.0 在 2021 年 05 月 20 日發(fā)布的版本以及 Discuz! X3.4 Release 20210520 處于非 EOL 狀態(tài)，其他涉及的 Release 版本均已 EOL ，不再進行維護。

常見問題解答

Q: 對于未涉及到的軟件或版本是否應該繼續(xù)運行？

A: 未涉及到的軟件或版本 ( 包括但不限于 Discuz! X <= 3.2 ， UCenter <= 1.6.0 ， Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系，但不含 Discuz! Q ) 雖然不受本安全問題影響，但相關軟件均已處于 EOL 狀態(tài)，不再進行維護，且近期已發(fā)現(xiàn)多個涉及相關軟件的中低風險安全問題并已在最新版本給予修復。同時 Discuz! X3.4 近期也提供了大量新功能改進、用戶體驗提升、安全性提升、 BUG 修復等，包括但不限于應對內容安全相關問題進行的內容重新審核功能以及內容安全功能兜底提升，應對 FLASH 停止維護所提供的 HTML5 附件上傳、HTML5 多媒體播放功能，以及對 HTTPS 支持等功能進行優(yōu)化等。并且 Discuz! X3.4 具有較好的環(huán)境兼容性，可以同時支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本，兼容絕大多數(shù)原 X3 之后發(fā)布的插件和模板。因此如您暫未有停止運營計劃，建議您安排版本升級，以最大限度保障站點安全以及提高用戶體驗。

Q: 對于此安全漏洞建議如何處理？

A: 本故障涉及 Discuz! X3.2 Release 20141225 以及更高版本，相關站點存在被密碼爆破的風險，需要盡快升級解決問題。在此建議您升級到 Discuz! X3.4 Release 20210629 以及其配套的 UCenter 軟件。相關軟件可以從 https://gitee.com/Discuz/DiscuzX 下載。

Q: 如何進行標準升級操作？

A: 如您使用的是 Discuz! X3.2 或更高版本，請使用 Discuz! X3.4 Release 20210629 對應語言對應編碼的軟件覆蓋您當前使用的軟件。如 UCenter 不處于默認目錄下或處于不同服務器下，您需要對 UCenter 也進行覆蓋操作。雖然代碼中進行了重映射的規(guī)避措施，但仍建議站點到 UCenter 后臺基本設置處修改本設置為合理值，隨后查看通知列表所涉及站點的 `uc_client/data/cache/settings.php` 緩存文件中的 `login_failedtime` 項是否為大于 0 的值以及其他選項是否正確，以免出現(xiàn)其他功能異常。

Q: 如果無法進行版本升級該如何處理？

A: 可以到應用中心下載 “ 2021年6月新漏洞專項檢測修復工具 ” ，查看自己的站點是否已受到了影響以及提供臨時緩解措施。如希望通過覆蓋函數(shù)方式解決問題，也請在覆蓋 https://gitee.com/Discuz/DiscuzX/pulls/1092 所涉及函數(shù)后參考 https://gitee.com/Discuz/DiscuzX/pulls/675 以及 https://gitee.com/Discuz/DiscuzX/pulls/628 代碼更新站點 UCenter 通信相關部分函數(shù)代碼，避免新配置無法下發(fā)。另外也可以參考其他安全相關 commit 對其他安全問題進行加固。

技術細節(jié)

在 Discuz! X3.2 Release 20141225 版本以及同期發(fā)布的 UCenter 軟件中（ 版本代碼內容后附 ），開發(fā)了一個部分生效的 “允許用戶登錄失敗次數(shù)” 功能，但此功能未完整開發(fā)之后僅僅注釋了界面上的功能項，后續(xù)版本也沒有繼續(xù)開發(fā)。

注釋功能項后會導致部分站點的 `login_failedtime` 在 UCenter 后臺基本設置處保存時被設置成 0 ，而由于不同功能項對 0 的處理方式有差異導致系統(tǒng)內對此情況的處理手段是不記錄登錄失敗次數(shù)而在提示信息中固定返回 4 次，導致 Bug 發(fā)生。

此版本通過對 Discuz! X 以及 UCenter 、 UC_Client 進行修改，完成該功能點的開發(fā)，同時新增重映射規(guī)避措施以解決相關問題。

版本代碼內容參見: https://gitee.com/popcorner/dzhi ... ffba32f7b0f356d0d56

補丁代碼詳見: https://gitee.com/Discuz/DiscuzX/pulls/1092

安全提示

我們強烈建議您使用仍在相關軟件開發(fā)團隊支持期內的操作系統(tǒng)、 Web 服務器、 PHP 、數(shù)據(jù)庫、內存緩存等軟件，超出支持期的軟件可能會對您的站點帶來未知的安全隱患。

Discuz! X 以及 UCenter 軟件當前 Release 版本發(fā)布規(guī)則為當前大版本下有新的 Release 版本發(fā)布時，之前的 Release 版本將自動處于 EOL 狀態(tài)，不再進行維護，請站點在新版本發(fā)布后主動更新到新的 Release 版本。

請各位站長、站點管理運維人員以及插件、模板開發(fā)者保持對 Discuz! X 官方站 https://www.discuz.net/ 以及 Discuz! X 官方 Git 倉庫 https://gitee.com/Discuz/DiscuzX 的關注，以便在安全漏洞發(fā)生時可進行修補，讓自己的站點時刻保持最安全的狀態(tài)！

Discuz! X 社區(qū)
2021 年 06 月 29 日

neol

贊一下，Discuz! X 社區(qū)  開發(fā)團隊的反應速度，和效率。

立即去更新了！

edee134

您的站點程序中未發(fā)現(xiàn)修復漏洞的代碼，請及時修復！直接升級至Discuz!最新版本即可修復問題，您也可以參考官方文檔手動修復。
暫時沒有時間修復的，可以使用本工具的修復數(shù)據(jù)功能一鍵修復存在問題的數(shù)據(jù)（但不能從根本解決問題）

您的站點配置目前沒有受到影響。

螞蟻仔

感謝分享，支持一下。

a1241328428

UCenter的范例程序包啥時候能更新一下，還是用的php5.x的語法，mysql連接都是報錯的

qwexiamen

謝謝分享