$7.49 .com domain with free InstantPage Website Builder$1.99 Web Hosting   捷飞网络官方淘宝店   Godaddy 优惠码
返回列表 发帖
分享到:




DedeCMS V5.5 100324系统常规安全补丁

大家可以在系统后台直接进行升级,或者下载安全补丁,在这里再次提醒大家对服务器安全设置要注意: http://bbs.dedecms.com/172474.html
$ o$ j4 e* J7 D. i6 L
" Q# |5 N) l+ |) k4 t# n$ h同期已经更新了程序包,新下载的完整安装包,已经包含本次补丁更新。 - _1 i: n4 b  `1 t
# I/ [9 b4 y* J, v0 i4 u6 u- ]* {0 a

3 n+ J/ q' F4 H
) C; z. O0 a& k8 \03-24文件修复列表 - D# ^) R2 v: c( t$ T+ K$ ~' W! F
include/common.inc.php, 增加安全配置判断,提升系统安全性
- ]  b! y( D3 D' [注意:
+ Y: T& `2 C5 O( {  K- V% |这次更新主要是对register_globals以及session.auto_start进行严格过滤,只可能出现报错情况(服务器配置不满足),不可能存在升级后网站速度变慢无法打开站点或某个功能无法使用这种情况.
8 G" U( z* D( q; v3 s# D6 G4 r. c
如果是独立服务器的用户可以修改php配置文件中的php.ini,将register_globals=On改为register_globals=Off
  `& u5 M9 n; N" j- b* Z; B同时把session.auto_start=1改成session.auto_start=0,然后重启Apache.
% H' o% A" P6 s, ?8 Q6 ^) _  S
9 a3 h0 d# ]" y如果是虚拟主机的用户,尽可能的通知空间商让其对配置进行修改,或者可以尝试ini_set('session.auto_start',0)来.
( _0 h" ^6 [6 i# j; X" U如果实在不行,那只有采用最后的办法直接去include/common.inc.php中将 6 j( b: C; R1 S  f
- @7 {) v  D" c
---- 5 Q5 B9 N6 J6 q" Y2 x8 m8 f
//开启register_globals会有诸多不安全可能性,因此强制要求关闭register_globals
8 d, N, Y( J- @; pif ( ini_get('register_globals') )4 @/ l- s1 n2 R! Q+ r
{  Z# D4 r3 \0 |: J- p: i' i
    exit('php.ini register_globals must is Off! ');" R7 q1 z. b+ S! u1 L
}- o  e1 n: v) C2 w9 _) b; m( K

3 p- I2 \3 `( U" m7 C. W: y//禁止 session.auto_start 9 d7 f0 G# W* D7 A( v% J- O
if ( ini_get('session.auto_start') != 0 ) $ M+ j' Y, ?, r7 Y" _
{ ( W! J( o5 d0 @. d
    exit('php.ini session.auto_start must is 0 ! '); / ~- L9 r2 ]7 n: {& u$ e
} , Y+ C% X  ?6 [" V( x) s  a
---- # S* k& P( n6 t) u2 t- N3 ^" ?
删除即可.$ n# ]. U: [/ x! y

0 ]' \6 C: \* u& q: R3 a4 y0 N- K7 d: L+ C* U
03-22文件修复列表
7 s2 M7 s, N/ y' Vplus/search.php, 修复导致跨站脚本攻击错误
" o! o9 V0 k2 \plus/list.php, 修复导致跨站脚本攻击错误 * q2 {, f$ R( ]) f* Y/ C: z

8 P  p2 V: f7 n7 }3 ?  K1 t03-10文件修复列表: 4 E5 ?5 |) I  S8 k- @
include/datalistcp.class.php, 增加一个信息过滤使之更严谨
7 k4 J) k( z3 u6 T- ~. |include/dedesql.class.php, 增加日志无法浏览的特殊处理 # d5 F* r# K1 ^. ?) d& R
plus/digg_ajax.php, 常规问题修复
, O0 z4 E! N- A6 U2 ]* R3 N- `plus/digg_frame.php, digg常规问题修复 ) \5 e+ @3 U& Q7 [
plus/comments_frame.php, 评论常规问题修复
2 S# c9 R( ?$ _3 ?2 w- `plus/vote.php, 修复一个投票编码错误(UTF-8版本)
3 |: R# z% Q% A5 C: S. A( h! a# H& P" `4 ]" v
9 K( k) j" X+ y
/ R/ y: d) o5 I' Y; Q, Z# k2 z% u: s
或者可以下载补丁包: 9 h" |% y' |# _+ p. T. r; B! E* ~
http://updatenew.dedecms.com/Patch/Patch2010.03.09.zip

返回列表
Namecheap
Namecheap.com - Cheap domain name registration, renewal and transfers - Free SSL Certificates - Web Hosting
互联网安全