XOOPS: 上传器安全补丁发布
发布者: phpppOn 2007年10月1日 6:46:56 阅读次数 19190如果模块未正确设置上传配置,则上传器类存在潜在漏洞。
该补丁适用于所有XOOPS版本。
从SourceForge XOOPS下载。
说明
将两份文件 /class/uploader.php 和 /class/mimetypes.inc.php 上传到您[class/]文件夹中,并覆盖现有文件。
强烈建议您将此补丁应用到现有的XOOPS系统中。
如果模块未正确设置上传配置,则上传器类存在潜在漏洞。
该补丁适用于所有XOOPS版本。
从SourceForge XOOPS下载。
说明
将两份文件 /class/uploader.php 和 /class/mimetypes.inc.php 上传到您[class/]文件夹中,并覆盖现有文件。
强烈建议您将此补丁应用到现有的XOOPS系统中。
Re: 上传器安全补丁发布
受影响的XOOPS版本有哪些?
Re: 上传器安全补丁发布
引用
hervet 写道
受影响的XOOPS版本有哪些?
引用
该补丁适用于所有XOOPS版本。
可能所有至今发布的XOOPS版本都受影响。
Re: 上传器安全补丁发布
引用
可能所有至今发布的XOOPS版本都受影响。
我怀疑Hervé提到的是最近发布的2.0.17.1RC2......这个修正是否已经包含在内了?
它将包含在“2.0.17.1 最终版”以及所有后续版本中吗?
为了以后如果有人问起,他们肯定会问的,我们知道这一点
Re: 上传器安全补丁发布
/class/uploader.php 和 /class/mimetypes.inc.php 这两个文件在上传补丁中与 XOOPS 2.0.17 RC2 中的内容相同。
因此,补丁被包含在 2.0.17.1 RC2 中。
我认为我们可以假设这个安全补丁也会包含在 2.0.17.1 最终版本中。
Re: 上传器安全补丁发布
McDonald 是正确的。
Re: 上传器安全补丁发布
引用
McDonald 是正确的。
所以它并不适用于所有版本
上面的评论带有幽默的意图。下面的评论是真诚的。
感谢更新 - 非常感谢
Re: 上传器安全补丁发布
我的问题是询问这是否适用于 2.0.17 版本或所有版本,但我已得到了答案。
Re: 上传器安全补丁发布
Frank,
这是我自己的评论,我已经在玩 mime_content_type,它依赖于一个不一定总是安装且不一定总是更新的文件,并且我没有使用 finfo 函数获得更多的成功。
但您是对的,来自浏览器的信息并不可靠。
** 由我自己编辑 **
如果您使用这个补丁与低于2.0.17版本的XOOPS,您可能会遇到问题,因为这个类使用了一些在旧版本中不存在的定义(比如在2.0.16版本中)。
另一个问题,当模块没有设置文件大小的时候,该类在checkMaxFileSize()函数中返回true,好像一切都很正常。我觉得当用户被告知上传成功,而实际上并不是这样时,这可能会让他们感到困惑,不是吗?
赫尔维。
Re: 上传器安全补丁发布
perhaps we should focus 2.0.18 on all possible vuln
Re: 上传器安全补丁发布
引用
perhaps we should focus 2.0.18 on all possible vuln
来吧,伙计们,这个“补丁的补丁”过程会成为新的开发规则吗?核心开发者测试他们的工作了吗?
请不要再犯老错误,而从过去的错误中汲取教训。现在不是再犯老错误的时候,这将混淆社区。
此外,我希望你们在2.0.17.1的变更日志中添加一些关于赫尔维的评论的信息(“另一个问题,当模块没有设置文件大小的时候,该类在checkMaxFileSize()函数中返回true,好像一切都很正常。我想用户如果被告知上传成功,而实际上并不是这样,这可能会让他们感到困惑,不是吗?”)
Re: 上传器安全补丁发布
晚上好。
考虑到XOOPS 2.0.16,这是必要的吗?
你建议先备份一下吗?
Re: 上传器安全补丁发布
引用
如果您使用这个补丁与低于2.0.17版本的XOOPS,您可能会遇到问题,因为这个类使用了一些在旧版本中不存在的定义(比如在2.0.16版本中)。
我正在使用与2.0.7.3一起的补丁
到目前为止似乎没有引起任何问题。您提到的是哪些定义?语言定义?(我也对这些进行了更新)。
Re: 上传器安全补丁发布
我知道公告说适用于所有版本,但针对赫尔维的评论,我们能从核心团队得到一个最终的确认——这个补丁适用于所有XOOPS版本(2.0.7. 10, 13, 14等)吗?
Re: 上传器安全补丁发布
正如我说的,它与2.0.7.3配合得很好。到现在为止,我没有发现任何问题。
Re: 上传器安全补丁发布
引用
正如我说的,它与2.0.7.3配合得很好。到现在为止,我没有发现任何问题。
如果您上传文件并出现错误,您将看到一些定义,例如(仅为例)_ER_UP_MIMETYPELOAD,而不是文本(因为这些定义只在2.0.17中的一个新文件/xoops/language/mylang/uploader.php中存在)
Re: 上传器安全补丁发布
感谢 Hervet。那么,文件/xoops/language/mylang/uploader.php和有关如何放置它的说明确实应该添加到补丁下载中,是吗?
Re: 上传器安全补丁发布
只有核心团队才能给你答案。
Re: 上传器安全补丁发布
引用
如果您上传文件并出现错误,您将看到一些定义,例如(仅为例)_ER_UP_MIMETYPELOAD,而不是文本(因为这些定义只在2.0.17中的一个新文件/xoops/language/mylang/uploader.php中存在)
我考虑了这一点。
Re: 上传器安全补丁发布
看起来这个安全补丁不完整,不能与 Xoops 的所有版本一起使用。当然,将缺失的文件添加到下载中不是什么大事?
关于 XOOPS 上传安全补丁发布[对我来说有必要吗?]
这个问题可能看起来很傻...
我启用了php safe mode,并且我所有的模块都没有设置为允许上传。
我需要使用这个补丁吗?
或者我等待 XOOPS 2.0.17.1 发布时(我现在使用 2.0.16)就安全了吗?
谢谢。
Login
Search
Recent Comments
Who's Online
Donat-O-Meter
| Stats | |
| Goal: | $100.00 |
| Due Date: | Aug 31 |
| Gross Amount: | $0.00 |
| Net Balance: | $0.00 |
| Left to go: | $100.00 |
 |
|
Latest GitHub Commits
Archives
News archives
- January 2017
- November 2016
- October 2016
- September 2016
- August 2016
- July 2016
- June 2016
- May 2016
- April 2016
- March 2016
- February 2016
- January 2016
- December 2015
- November 2015
- October 2015
- September 2015
- July 2015
- May 2015
- April 2015
- March 2015
- February 2015
- January 2015
- December 2014
- November 2014
- October 2014
- September 2014
- August 2014
- July 2014
- June 2014
- May 2014
- April 2014
- March 2014
- February 2014
- January 2014
- December 2013
- November 2013
- October 2013
- September 2013
- August 2013
- July 2013
- June 2013
- May 2013
- April 2013
- March 2013
- February 2013
- January 2013
- December 2012
- November 2012
- October 2012
- September 2012
- August 2012
- July 2012
- June 2012
- May 2012
- April 2012
- March 2012
- February 2012
- January 2012
- December 2011
- November 2011
- October 2011
- September 2011
- August 2011
- July 2011
- June 2011
- May 2011
- April 2011
- March 2011
- February 2011
- January 2011
- December 2010
- November 2010
- October 2010
- September 2010
- August 2010
- July 2010
- June 2010
- May 2010
- April 2010
- March 2010
- February 2010
- January 2010
- December 2009
- November 2009
- October 2009
- September 2009
- August 2009
- July 2009
- June 2009
- May 2009
- April 2009
- March 2009
- February 2009
- January 2009
- December 2008
- November 2008
- October 2008
- September 2008
- August 2008
- July 2008
- June 2008
- May 2008
- April 2008
- March 2008
- February 2008
- January 2008
- December 2007
- November 2007
- October 2007
- September 2007
- August 2007
- July 2007
- June 2007
- May 2007
- April 2007
- March 2007
- February 2007
- January 2007
- December 2006
- November 2006
- October 2006
- September 2006
- August 2006
- July 2006
- June 2006
- May 2006
- April 2006
- March 2006
- February 2006
- January 2006
- December 2005
- November 2005
- October 2005
- September 2005
- August 2005
- July 2005
- June 2005
- May 2005
- April 2005
- March 2005
- February 2005
- January 2005
- December 2004
- November 2004
- October 2004
- September 2004
- August 2004
- July 2004
- June 2004
- May 2004
- April 2004
- March 2004
- February 2004
- January 2004
- December 2003
- November 2003
- October 2003
- September 2003
- August 2003
- July 2003
- June 2003
- May 2003
- April 2003
- March 2003
- February 2003
- January 2003
- December 2002
- November 2002
- October 2002
- September 2002
- August 2002
- July 2002
- June 2002
- May 2002
- April 2002
- March 2002
- February 2002
- January 2002
- December 2001
- December 1969