安全公告：关闭自定义头像上传 - 安全 - XOOPS 新闻 - XOOPS Web 应用程序系统

XOOPS

新闻

新闻 XOOPS 世界开发者插件主题存档提交新闻

安全：安全公告：关闭自定义头像上传

发布者: Mithrandir于 2005/3/8 7:30:00 33590 阅读

已报告XOOPS核心存在一个漏洞，允许注册用户向web服务器上传可能有害的脚本。

漏洞出在于自定义头像的上传，在我们对后果和漏洞利用的修正有一个完整概述之前，建议所有XOOPS网站管理员在系统管理 -> 首选项 -> 用户信息设置 -> "允许自定义头像上传"中关闭自定义头像上传。

此外，不允许任何不受信任的用户通过图像管理器上传图像，即在管理菜单 -> 系统管理 -> 图像编辑每个类别，不允许不受信任用户组上传。

一旦我们有了对这个漏洞的修复，我们将及时通知您。

XOOPS 核心开发团队

更新
修复已可用。
如果在更深入的测试中没有遇到特定问题，它将于明天发布。

在此期间，欢迎尝试它并给我们一些反馈的人。
要安装它，请将以下两个文件上传到您的XOOPS /class/文件夹中
uploader.php (确认您获取的是修订版1.18，或稍等片刻...)
mimetypes.inc.php

SF viewcvs更新是定期进行的，但您可能需要等待几分钟才能可用。或者，具有匿名cvs访问权限的人现在可以从XOOPS cvs存储库中获取它们。

skalpa.>
(多亏了 php_pp :)

评论归作者所有。我们不对其内容负责。

user

关于安全公告：关闭自定义头像上传的回应

hyperpod 发表于 03/08/2005 21:55 非常活跃加入 10/04/2004 评论 359

有人知道WF-Downloads模块在这方面是否安全吗？

它有一个文件上传器和图像上传器。

谢谢，

_Dan

user

关于安全公告：关闭自定义头像上传的回应

brash 发表日期 2005-08-03 22:29 XOOPS好友加入时间 2003-10-04 评论 2206

我假设您还需要将AMS和News 1.2及以上版本的上传功能仅对审批者开放（只有信任的成员才授予审批权限）或完全禁用它。我想NewBB 2也应该是这样。

user

关于安全公告：关闭自定义头像上传的回应

发表日期 2005-08-03 22:31 加入时间评论

我们无法告诉您，因为我们没有关于这个问题的详细信息。不确定这是否是XOOPS上传类的问题，但我们确实使用了这个类的修改版本。

我建议现在不要允许WF-Downloads中的图像上传，一旦我们得知任何消息，我们会通知您。

user

关于安全公告：关闭自定义头像上传的回应

发表日期 2005-08-03 22:35 加入时间评论

那自从什么时候开始调动者变成网站管理员呢哎，你从来没问过我啊 :sulks

Scott

user

关于安全公告：关闭自定义头像上传的回应

Mithrandir 发表日期 2005-08-03 22:49 XOOPS是我的生命！加入时间 2003-06-21 评论 6320

我仍在研究，但我相信News、AMS和WF-Downloads都会检查扩展名以找到mimetype，而不是依靠浏览器“猜测”。如果是这样，应该足够安全，但我必须确保这一点。

问题在于上传文件时，您依赖浏览器设置mimetype而忽略扩展名，因此允许用户上传具有特定扩展名的“图像”，例如.php4，然后仅通过显示“图像”就可以执行它。

user

关于安全公告：关闭自定义头像上传的回应

发表日期 2005-08-03 23:04 加入时间评论

或许三重检查会更好

- mimetype是否正确？
- 扩展名是否正确？
- 从文件中读取几行以确保里面没有恶意代码

仅为建议...

关于安全公告：关闭自定义头像上传的回应

loudo 发表日期 2005-08-03 23:11 临时进入加入时间 2004-09-15 评论 54

XoopsMediaUploader能做这个吗？

user

关于安全公告：关闭自定义头像上传的回应

Mithrandir 发布于 2005年3月8日 23:12 更新于 2005年3月8日 23:14 XOOPS是我的生命！加入日期 2003年6月21日评论 6320

我对这个领域并不是专家，但我相信浏览器通过读取文件的一些行来确定MIME类型，但这是由浏览器完成的，而不是服务器，并且可以被欺骗。

然而，读取上传文件的一些行并不能保证其中没有恶意代码，因为这些行可以包含直到恶意代码所在位置之前的完全正常的图像代码。

检查MIME类型（是否被伪造）和扩展名（只允许网络服务器不会解析为脚本文件的扩展名）似乎是我们可以做的唯一可靠的方法 - 可能需要第三步，但我认为读取上传文件的一些行并不会产生影响。

虽然如此，感谢您的建议。

我已将修改后的类上传到错误追踪项目 - 有没有人能检查一下是否可以通过它上传一个扩展名改为例如php3的图片？

user

关于安全公告：关闭自定义头像上传的回应

wtravel 发布于 2005年3月8日 23:52 更新于 2005年3月9日 0:18 加入日期 2003年8月27日评论 987

我在测试它，但由于我安装了XOOPS保护模块，我受到了保护并且没有测试你的修复。

然而，在暂时关闭保护模块后，我能够测试它，并且它按预期工作。上传因错误 '文件扩展名被拒绝' 而被终止。

做得好，Mith。

马蒂恩

user

关于安全公告：关闭自定义头像上传的回应

phppp 发布于 2005年3月9日 1:06 XOOPS贡献者加入日期 2004年1月25日评论 2857

尽管我不再使用NewBB 2，但我愿意帮助马可澄清这个问题不会影响NewBB 2。
这个问题不影响NewBB 2。

user

关于安全公告：关闭自定义头像上传的回应

Dave_L 发布于 2005年3月9日 1:15 XOOPS是我的生命！加入日期 2003年11月7日评论 2277

在安全性方面，检查扩展名可能是足够的。

文件名也应该被净化，以便它不包含任何不安全的字符。我认为无论怎样头像都会被分配新的名称，所以这不会是问题。

在图像文件的情况下，PHP函数getimagesize很有用，因为它读取至少部分文件以获取图像类型和尺寸。

user

关于安全公告：关闭自定义头像上传的回应

发布日期 03/09/2005 1:35 更新日期 03/09/2005 1:39 加入日期评论

我必须同意dave_l的看法，你可以从这个有用的功能中获得很多信息，并有助于在此确定一个真正的图像文件和一个假的文件，如果服务器支持的话，尝试使用GD lib函数处理文件 ; )=.

关于安全公告：关闭自定义头像上传的回应

astaldaran 发布日期 03/09/2005 3:22 顺便提一下加入日期 05/09/2004 评论 73

我不确定问题是什么…

我以为你说是从文件的前几行推断出MIME类型，我尝试在图像文件中添加代码并更改扩展名，但上传代码不喜欢这个扩展名，所以它似乎正在检查。（这是一个几月前的XOOPS构建）

我遗漏了什么吗？

顺便说一句：在此期间，我已经在实时站点上禁止了头像上传。

user

关于安全公告：关闭自定义头像上传的回应

skalpa 发布日期 03/09/2005 4:10 相当定期来此加入日期 04/16/2003 评论 300

补丁将在几分钟内可用。

考虑到我在半夜回到家，没有对所有内容进行充分测试（这里是凌晨4点），我首先编辑新闻，以便你可以直接从sourceforge viewcvs界面下载（要更新的只有一个文件，还要添加一个文件，都在/class/目录中）。
请自由测试并汇报任何问题，以便我们明天可以发布真实更新。

skalpa.>

user

关于安全公告：关闭自定义头像上传的回应

philou 发布日期 03/09/2005 5:50 相当定期来此加入日期 05/06/2002 评论 384

感谢skalpa 在frxoops.org上更新了新闻
在6:00之前，SF CVS的更新还没有可用。

user

关于安全公告：关闭自定义头像上传的回应

irmtfan 发布日期 03/09/2005 7:19 模块开发者加入日期 12/07/2003 评论 3419

新闻已添加到farsixoops.org
我现在可以下载新文件了。
谢谢

user

关于安全公告：关闭自定义头像上传的回应

hervet 发布日期 03/09/2005 7:23 更新日期 03/09/2005 12:37 XOOPS的朋友加入日期 11/04/2003 评论 2267

引用

phppp 写道
尽管我不再在NewBB 2中，但…

!!!!!!!!!!!!!

user

关于安全公告：关闭自定义头像上传的回应

siweb 发布于 03/09/2005 8:29 不怕说话加入于 05/02/2004 评论 150

我同意 hervet 的看法。上传头像的问题似乎不再那么严重了。

user

关于安全公告：关闭自定义头像上传的回应

tamerlo 发布于 03/09/2005 11:52 随意来访加入于 01/30/2004 评论 71

这个问题影响了 wf-section 1.01 吗？

user

关于安全公告：关闭自定义头像上传的回应

jegelstaff 发布于 03/09/2005 14:11 模块开发者加入于 07/02/2004 评论 518

为核心团队对此问题的出色沟通表示赞赏！感谢及时告知我们情况，让补丁迅速可用以便测试。

--Julian

关于安全公告：关闭自定义头像上传的回应

stingerblue 发布于 03/11/2005 23:17 随意来访加入于 07/26/2004 评论 28

我刚刚检查，我能够用 exe.jpg 改变我的头像，我正在使用 2.9 版本。

user

关于安全公告：关闭自定义头像上传的回应

wtravel 发布于 03/12/2005 9:10 加入于 08/27/2003 评论 987

您说的 exe.jpg 究竟是啥意思？

问候，

马蒂恩

主题：关于安全公告：关闭自定义头像上传

NoBoDyPopUp 发布于 03/12/2005 20:15 随意来访加入于 03/12/2005 评论 4

对我而言这是很糟糕的 :((

user

关于安全公告：关闭自定义头像上传的回应

jdseymour 发布于 03/14/2005 9:47 XOOPS 朋友加入于 11/11/2004 评论 3782

对此问题的更新情况如何？这个补丁是最终的解决方案吗？还需要做更多的工作？

user

回复：关于安全公告的任何更新？

skara 发布于 03/14/2005 16:32 XOOPS 朋友加入于 09/24/2004 评论 84

几乎一周过去了，我没有看到任何更新...
是否有最终解决方案的时间表？

回复：关于安全公告的任何更新？

Yantje 发布于 2005年3月15日 9:59 随意逛逛加入于 2004年11月17日评论 11 条

感谢关于这个问题的交流，做得很好！关于新文件（rev 1.18），我有几个问题。在我将新文件上传到 /class/ 目录后，当成员想要上传头像时，我得到了错误信息“上传过程中返回错误；加载 mimetypes 定义出错”。有什么解决方案吗？谢谢！

user

回复：关于安全公告的任何更新？

Mithrandir 发布于 2005年3月15日 10:40 XOOPS 是我的生命！加入于 2003年6月21日评论 6320 条

我们将尽力在本周内发布一个安全更新，以便您可以再次启用自定义头像和图片管理器。

@Yantje，我今晚回到家后会查看你的错误信息。

user

回复：关于安全公告的任何更新？

tjnemez 发布于 2005年3月15日 15:46 家以外的家加入于 2003年9月21日评论 1594 条

我的理解是，如果您安装了 protector 2.37，这不会是问题，对吗？

user

回复：关于安全公告的任何更新？

Herko 发布于 2005年3月15日 16:10 XOOPS 是我的生命！加入于 2002年2月4日评论 4238 条

你是在询问我们是否可以确认你的理解吗？ http://www.peak.ne.jp/xoops/ 似乎表明并非如此，但他们已经为 my-album_p 模块实现了修复版本。（或者是我理解错了，这也是可能的）

Herko

user

回复：关于安全公告的任何更新？

tjnemez 发布于 2005年3月15日 16:12 家以外的家加入于 2003年9月21日评论 1594 条

是的，我正在请求确认，我不确定 gi joes 的帖子。

回复：关于安全公告的任何更新？

Yantje 发布于 2005年3月19日 22:23 随意逛逛加入于 2004年11月17日评论 11 条

Hey Mithrandir，关于错误信息“上传过程中返回错误；加载 mimetypes 定义出错”，有什么新消息吗？

我仍然遇到这个错误，还有其他人遇到这些问题吗？

user

回复：关于安全公告的任何更新？

Mithrandir 发布于 2005年3月20日 15:52 XOOPS 是我的生命！加入于 2003年6月21日评论 6320 条

Yantje，你的错误发生在 mimetypes.inc.php 无法正确包含时。

你能再次检查以下几个方面吗：
1. mimetypes.inc.php 存在于你的 class/ 文件夹中
2. 如果直接访问它，不会出现解析错误吗？（http://www.example.com/class/mimetypes.inc.php - 由于这个类中没有输出，应该会显示一个空白屏幕，但如果它被损坏，可能会抛出解析错误）

回复：关于安全公告的任何更新？

Yantje 发布于 2005年3月23日 17:58 更新于 2005年3月23日 18:01 偶然来访加入于 2004年11月17日评论数 11

感谢您关注，Mithrandir...

我刚刚发现错误。我的文件名有损坏。名字是：mimetyes.inc.php，我刚才检查了一下，感谢您的时间，为这个愚蠢的错误道歉。我感到很羞愧

user

回复：关于安全公告的任何更新？

Mithrandir 发布于 2005年3月23日 18:12 XOOPS是我的生活！加入于 2003年6月21日评论数 6320

很高兴发现问题不是补丁出了故障。

我会在几个小时内打包并正确发布。

user

关于安全公告：关闭自定义头像上传的回应

Sebastian 发布于 2005年4月3日 18:33 偶然来访加入于 2004年11月25日评论数 23

我明白了这个问题的确已经在补丁2.0.9.2-to-2.0.9.3中得到解决。

user

关于安全公告：关闭自定义头像上传的回应

m0nty 发布于 2005年4月3日 18:44 XOOPS是我的生活！加入于 2003年10月24日评论数 3337

已解决。

关于安全公告：关闭自定义头像上传的回应

Vahrokh 发布于 2005年5月3日 11:06 偶然来访加入于 2005年1月17日评论数 16

如果是这样，为什么我无法在此网站上设置头像？似乎上传仍然被禁用了。

user

关于安全公告：关闭自定义头像上传的回应

Mithrandir 发布于 2005年5月3日 11:11 XOOPS是我的生活！加入于 2003年6月21日评论数 6320

您需要至少有10个以上的发表次数才能在此添加头像。

关于安全公告：关闭自定义头像上传的回应

Vahrokh 发布于 2005年5月4日 7:44 偶然来访加入于 2005年1月17日评论数 16

谢谢您回答这些小事，真是太好了

这更让我坚信我做得正确，可以说服我的公司采用XOOPS作为他们工作的平台。

user

关于安全公告：关闭自定义头像上传的回应

wingrider101 发表于 08/18/2007 16:33 不太害羞发言加入 05/26/2004 评论 101

这个“修复”是否已经包含在2.0.16版本中？我的头像上传功能无法使用，图像管理器也无法工作。我应该安装这个相当旧的修复版吗？这真让人很困惑。

user

关于安全公告：关闭自定义头像上传的回应

wtravel 发表于 08/19/2007 9:57 加入 08/27/2003 评论 987

这个修复功能两年前就已经整合进来了。

Login

Username

Password

Remember me

Register now! | Lost Password?

Search

Advanced Search

Recent Comments

Re: New Admin Theme for XOOPS (Beta)

Publisher Bleekk 06/03/2024 18:53
Re: New Admin Theme for XOOPS (Beta)

Publisher kakos 05/29/2024 14:51
Re: XOOPS 2.5.11 Final Released

Publisher HymanSarwar 02/16/2024 5:22
Re: XOOPS 2.5.11 Final Released

Publisher Mamba 12/31/2023 15:24
Re: XOOPS 2.5.11 Final Released

Publisher alain01 12/29/2023 10:16

Who's Online

373 user(s) are online (18 user(s) are browsing XOOPS News)

Members: 0

Guests: 373

Donat-O-Meter

Stats
Goal:	$100.00
Due Date:	Aug 31
Gross Amount:	$0.00
Net Balance:	$0.00
Left to go:	$100.00

Latest GitHub Commits

{{ record.sha.slice(0, 7) }} - {{ record.commit.message | truncate }}

{{ record.commit.author.name }} {{ record.commit.author.date | formatDate }}

Archives

News archives