安全: XOOPS 2.3.2a - 安全发布

发布者:phppp于2008/11/26 6:30:00 28024 阅读
XOOPS 开发团队很高兴宣布发布 XOOPS 2.3.2a

这个版本仅用于几个关键的安全修复,包括数字研究小组报告的XSS漏洞、DSG报告的潜在本地文件包含漏洞、Dylian报告的自动登录错误以及boy0917报告的数据同步回溯错误。

强烈建议所有XOOPS 2.3.x用户尽快升级到这个版本。

XOOPS 2.0和2.2版本不受此处处理的安全问题的影响。 然而,建议所有安装了保护模块的2.0和2.2用户升级到本包中包含的版本。

Sourceforge 仓库 下载。

系统需求 ----------------------------------- PHP:任何PHP版本 >= 4.3(PHP 4.2.x可能可行,但不受官方支持,强烈推荐使用PHP 5.0+版) MySQL:MySQL服务器3.23+(强烈推荐使用MySQL 5.0+版) 网络服务器:任何支持所需PHP版本的服务器(强烈推荐使用Apache) 下载XOOPS 2.3.2a ----------------------------------- 您可以从sourceforge.net文件存储获取此发布包。提供.zip和.gz档案。 安装XOOPS 2.3.2a ----------------------------------- 1. 将htdocs/文件夹的内容复制到服务器可以访问的地方 2. 确保web服务器可写mainfile.php和uploads/目录 3. 为了安全考虑,建议将"/xoops_lib"(XOOPS库)和"/xoops_data"(XOOPS数据)目录移出文档根目录,甚至可以更改文件夹名称。 4. 使xoops_data/目录可写;创建并使xoops_data/caches/、xoops_data/caches/xoops_cache/、xoops_data/caches/smarty_cache/和xoops_data/caches/smarty_compile/目录可写。 5. 使用您的浏览器访问您安装的htdocs/文件所在的文件夹,以启动安装向导 在XOOPS 2.3.2a中安装Protector ----------------------------------- 还强烈推荐安装PROTECTOR模块,这将为您的网站提供额外的安全保护和记录功能:要使用XOOPS 2.3.2a的新安装首次安装Protector模块,请在安装XOOPS之前将/extras/mainfile.dist.php.protector复制到/htdocs/mainfile.dist.php中。如果您正在升级现有的XOOPS网站(参见下面如何进行),并且那里已安装了Protector,请升级XOOPS之前,将/extras/mainfile.dist.php.protector复制到/upgrade/upd-2.0.18-to-2.3.0/mainfile.dist.php中。 从之前的版本升级 ----------------------------------- 一如既往,升级前请确保有一个新的备份!!! 从XOOPS 2.3.x(简单方式)升级 1. 从sourceforge文件存储获取更新包 2. 使用新文件覆盖现有的文件 3. 将位于您本地机的"upgrade"文件夹移动到"htdocs"文件夹内部(因为它对完整安装不需要) 4. 使用浏览器访问/upgrade/,并按照指示进行 5. 按照指示更新您的数据库 6. 从您的服务器中删除升级文件夹 7. 从模块管理界面更新"system"模块,其他模块,特别是"profile"建议也更新 从XOOPS 2.0.14以上版本和2.2.*以上版本(使用完整包)升级 1. 将位于您本地机的"upgrade"文件夹移动到"htdocs"文件夹内部(因为它对完整安装不需要) 2. 从您本地机的"htdocs"文件夹中删除htdocs/mainfile.php、htdocs/install/、htdocs/cache/、htdocs/extras/、htdocs/template_c/、htdocs/themes/和htdocs/uploads/ 3. 上传您本地机的htdocs文件夹内容,覆盖服务器上现有的文件 4. 为了安全考虑,建议将xoops_lib(XOOPS库)和xoops_data(XOOPS数据)目录移出文档根目录,甚至可以更改文件夹名称。 5. 使xoops_data/目录可写;创建并使xoops_data/caches/、xoops_data/caches/xoops_cache/、xoops_data/caches/smarty_cache/和xoops_data/caches/smarty_compile/目录可写。 6. 确保服务器可以写入mainfile.php 7. 访问/upgrade/,并按照指示进行 8. 按照指示更新您的数据库 9. 从您的服务器中删除升级文件夹 10. 从模块管理界面更新"system"模块,其他模块,特别是"profile"建议也更新使用浏览器访问/upgrade/,并按照说明操作 8. 按照说明更新您的数据库 9. 再次对mainfile.php设置写保护 10. 从您的服务器删除升级文件夹 11. 从模块管理接口更新“系统”模块,建议也更新其他模块 从2.0.7至2.0.13.2版本的XOOPS升级(使用完整包): 1. 将“upgrade”文件夹移动到LOCAL机器的“htdocs”文件夹内(由于完整安装不需要,所以之前被排除在外) 2. 从LOCAL机器的“htdocs”文件夹中删除htdocs/mainfile.php、htdocs/install/、htdocs/cache/、htdocs/extras/、htdocs/template_c/、htdocs/themes/和htdocs/uploads/ 3. 将LOCAL机器上“htdocs”文件夹的内容上传到服务器上现有的文件上 4. 从您的服务器删除以下文件夹和文件(它们属于旧版本):* class/smarty/core * class/smarty/plugins/resource.db.php 5. 确保服务器可以对mainfile.php进行写操作 6. 考虑到安全性,建议将xoops_lib(XOOPS库)和xoops_data(XOOPS数据)文件夹移动出文档根目录,或者甚至更改文件夹名称。 7. 使xoops_data/目录可写;创建并使xoops_data/caches/、xoops_data/caches/xoops_cache/、xoops_data/caches/smarty_cache/和xoops_data/caches/smarty_compile/目录可写。 8. 访问/upgrade/,并按照说明操作 9. 再次对mainfile.php设置写保护 10. 从您的服务器删除升级文件夹 11. 从模块管理接口更新“系统”模块,建议也更新其他模块 非UTF-8网站的升级: UTF-8编码从XOOPS 2.3版本开始被用作默认字符集。然而,将现有网站从非UTF-8字符集转换为UTF-8可能会出现一些问题。在找到这个转换的足够好的解决方案之前,如果您不是经验丰富的用户,在升级现有网站时建议进行以下设置: - 在升级过程中“数据库字符集和校对”步骤中选择“不更改”选项 - 如果在新的全局.php文件中将它更改为UTF-8,更改/languages/yourlanguage/global.php以使用现有的CHARSET值
define('_CHARSET''UTF-8');
升级XoopsEditor软件包:在XOOPS 2.3.2a软件包中,包括了五种编辑器:dhtmltextarea和纯文本textarea,fckeditor,tinymce和koivi用于所见即所得的HTML。由于fckeditor和tinymce编辑器都存在一些目录结构的变化,建议在上传新编辑器之前先删除现有编辑器。如果您使用fckeditor作为模块,请根据/fckeditor/modules/中的文件修改特定模块的配置,特别是如果使用“文章”模块。 调试信息显示级别 ----------------------------------- 自从XOOPS 2.3.1中调试信息显示级别被启用作为2.3*的一个临时解决方案以向不同级别的用户显示调试信息:对所有用户,限于会员或仅限于管理员。该配置可在/xoops_data/configs/xoopsconfig.php中设置。XOOPS 3.0重新设计了一个新的调试信息渲染器。 文件完整性检查 ----------------------------------- 全部XOOPS软件包都附带了一个脚本,可以检查系统文件是否已正确上传到服务器。使用方法如下: 1. 将XOOPS软件包根目录中的checksum.php和checksum.md5文件上传到您的XOOPS服务器文件夹中(将它们放在mainfile.php旁边)。 2. 使用您的浏览器执行checksum.php 3. 如果需要,重新上传缺失或损坏的系统文件 4. 从您的服务器中删除checksum.php和checksum.md5 模块 ----------------------------------- 本版只包含“系统相关模块”。如果您需要附加功能,请浏览XOOPS模块存储库。注意:由于正在构建新的存储库,当前存储库可能不是最新的,请访问各个开发者的网站以确保您使用的是模块的最新版本。 如何贡献 ----------------------------------- 缺陷报告: http://sourceforge.net/tracker/?group_id=41586&atid=430840 补丁和增强: http://sourceforge.net/tracker/?group_id=41586&atid=430842 特性设计: http://sourceforge.net/tracker/?group_id=41586&atid=430843 发布公告: https://lists.sourceforge.net/lists/listinfo/xoops-announcement XOOPS开发团队 2008年11月26日