模块: Netquery v4.0 - 安全补丁

发布者: RVirtue于 2006/11/10 20:40:00 6009 阅读
自宣布发布Netquery 4.0 版本以来,我意识到它所使用的客户端嗅探类的输出可能存在潜在漏洞。详细信息请见SecurityFocus.com

该问题已得到解决,并在VIRtech.org上的所有当前 Netquery 下载均已更新以解决问题。对于已经下载的用户,可以从同一来源获取一个单独的“自行修复”补丁包。以下为补丁包中包含的 README.txt 文件的副本。

对于所有相关的麻烦,我深表歉意。


++++ 补丁包中 README.TXT 文件的副本 ++++

本补丁针对 Netquery 4.0 版本解决了一个最初由 Zion Security (http://www.zion-security.com) 和其他人(包括 SecurityFocus (http://www.securityfocus.com) 和 SecurityTracker (http://www.securitytracker.com)) 报告的潜在漏洞问题。

要安装补丁,只需将两个 PHP 文件(nqSniff.class.php 和 sanitize.inc.php)复制到 Netquery 模块的 include 文件子文件夹中,并覆盖该子文件夹中现有的 nqSniff.class.php 文件。无需更新 Netquery 本身。Netquery 任何 CMS 版本中的模块和区块项目也不需要更新。

与上述报告中的一些细节相反,潜在漏洞影响 Netquery 的所有版本,因为它们都使用了 Roger Raymond 的客户端嗅探类的相同改编。由于该类没有内置的清理功能,因此此补丁通过包含 Gavin Zuchlinski 的清理函数来解决该问题。

需要注意的是,Roger Raymond 的客户端嗅探类被广泛使用。例如,它在几个内容管理系统(包括 Postnuke 和 Xaraya)的多个功能中使用。此补丁仅解决与 Netquery 使用其输出相关的潜在漏洞。
__

下载可以在此找到:VIRtech.org