安全: XOOPS 2.3.2b - 安全发布

发布者: phppp于 2008/12/7 12:10:00 阅读量 38876
安全一直是XOOPS开发者的首要任务。因此,XOOPS开发团队很高兴地宣布发布改进版的XOOPS 2.3.x发布:XOOPS 2.3.2b

这个版本仅为几个关键的修复,包括数字安全研究小组(DSRG)报告的XSS漏洞,DSRG报告的潜在本地文件包含漏洞,Dylian报告的自动登录错误,boy0917报告的数据同步回溯错误以及ezsky报告的xoopsmailer错误。

在2.3.2b版本中,我们通过与DSRG的合作进一步提高了安全性。

强烈建议所有XOOPS 2.3.x用户尽快升级到这个版本。

XOOPS 2.0 和 2.2 版本不受此处解决的XSS问题影响。但是,所有已安装保护器模块的2.0和2.2用户被建议升级到此包中包含的版本以解决本地文件包含问题。

Sourceforge 仓库下载。

系统需求 ----------------------------------- PHP: 任何 PHP 版本 >= 4.3(PHP 4.2.x 可能可行但不受官方支持,强烈推荐 PHP 5.0+) MySQL: MySQL 服务器 3.23+(强烈推荐 MySQL 5.0+) 网络服务器:任何支持所需 PHP 版本的服务器(强烈推荐 Apache) 下载 XOOPS 2.3.2b ----------------------------------- 您可以从 Sourceforge 存储库 获取这个发行包。提供 .zip 和 .gz 归档。 安装 XOOPS 2.3.2b ----------------------------------- 1. 将 htdocs/ 文件夹的内容复制到服务器可以访问的位置 2. 确保 web 服务器可以写入 mainfile.php 和 uploads/ 文件夹 3. 考虑到安全性,我们鼓励您将 "/xoops_lib"(XOOPS 库)和 "/xoops_data"(XOOPS 数据)目录移出文档根目录,甚至更改文件夹名称。 4. 确保 xoops_data/ 目录可写;创建并确保 xoops_data/caches/、xoops_data/caches/xoops_cache/、xoops_data/caches/smarty_cache/ 和 xoops_data/caches/smarty_compile/ 目录可写。 5. 通过您的网络浏览器访问您安装的 htdocs/ 文件夹以启动安装向导 在 XOOPS 2.3.2 中安装 Protector ----------------------------------- 我们还强烈推荐安装 PROTECTOR 模块,它将为您的网站提供额外的安全保护和日志记录功能:要将 Protector 模块第一次安装在新安装的 XOOPS 2.3.2 上,在安装 XOOPS 之前将 /extras/mainfile.dist.php.protector 复制到 /htdocs/mainfile.dist.php。如果您正在升级现有的 XOOPS 网站(下面将说明如何进行),并且 Protector 已经安装在那里,在升级 XOOPS 之前将 /extras/mainfile.dist.php.protector 复制到 /upgrade/upd-2.0.18-to-2.3.0/mainfile.dist.php。 从先前的版本升级 ----------------------------------- 始终确保在升级之前进行最新的备份!!! 从 XOOPS 2.3.x 升级(简单方法) 1. 从 sourceforge 文件存储库获取更新包 2. 用新文件覆盖您的现有文件 3. 将 "upgrade" 文件夹移动到本地机器上的 "htdocs" 文件夹内(它被保留出来,因为对于完整安装不需要它) 4. 使用浏览器访问 /upgrade/,并遵循指示 5. 遵循指示更新数据库 6. 从您的服务器上删除升级文件夹 7. 通过模块管理接口更新 "system" 模块,其他模块,特别是 "profile" 建议更新。 从 2.0.14 以上 2.0.* 以及 2.2.* 版本升级(使用完整的包) 1. 将 "upgrade" 文件夹移动到本地机器上的 "htdocs" 文件夹内(它被保留出来,因为对于完整安装不需要它) 2. 从本地机器上的 "htdocs" 文件夹中删除 htdocs/mainfile.php、htdocs/install/、htdocs/cache/、htdocs/extras/、htdocs/template_c/、htdocs/themes/ 和 htdocs/uploads/ 3. 将本地机器上 htdocs 文件夹的内容上传到您的服务器上的现有文件上 4. 考虑到安全性,我们鼓励您将目录 xoops_lib(XOOPS 库)和 xoops_data(XOOPS 数据)移出文档根目录,甚至更改文件夹名称。 5. 确保 xoops_data/ 目录可写;创建并确保 xoops_data/caches/、xoops_data/caches/xoops_cache/、xoops_data/caches/smarty_cache/ 和 xoops_data/caches/smarty_compile/ 目录可写。 6. 确保服务器可以写入 mainfile.php 7. 访问/upgrade/ 使用浏览器,并遵循指示 8. 遵循指示更新您的数据库 9. 从您的服务器上删除升级文件夹 10. 从模块管理界面更新 "system" 模块,其他模块,尤其是 "profile" 建议更新。使用浏览器访问/upgrade/,按照说明进行操作 8. 按照说明更新您的数据库 9. 再次对mainfile.php进行写保护 10. 从您的服务器删除升级文件夹 11. 从模块管理界面更新“系统”模块,建议也更新其他模块 从任何从2.0.7到2.0.13.2版本的XOOPS进行升级(使用完整包): 1. 将“升级”文件夹移动到您的本地机器上“htdocs”文件夹内(它被留在外面,因为在完整安装中不需要它) 2. 从您的本地机器的“htdocs”文件夹中删除htdocs/mainfile.php,htdocs/install/,htdocs/cache/,htdocs/extras/,htdocs/template_c/,htdocs/themes/和htdocs/uploads/ 3. 将您的本地机器上的htdocs文件夹内容上传到您的服务器上现有的文件 4. 从您的服务器上删除以下文件夹和文件(它们属于旧版本): * class/smarty/core * class/smarty/plugins/resource.db.php 5. 确保服务器可以写入mainfile.php 6. 考虑到安全性,建议您将xioops_lib(XOOPS库)和xoops_data(XOOPS数据)目录从文档根目录移出,或者甚至更改文件夹名称。 7. 使xoops_data/目录可写;创建并使xoops_data/caches/,xoops_data/caches/xoops_cache/,xoops_data/caches/smarty_cache/和xoops_data/caches/smarty_compile/目录可写。 8. 访问/upgrade/,并按照说明操作 9. 再次对mainfile.php进行写保护 10. 从您的服务器中删除升级文件夹 11. 从模块管理界面更新“系统”模块,推荐也更新其他模块 非UTF-8站点的升级: UTF-8编码自XOOPS 2.3起作为默认字符集。但是,将现有非UTF-8字符集网站转换为UTF-8可能存在一些问题。在找到合适的解决方案之前,如果您不是经验丰富的用户,在升级现有网站时建议以下设置: - 在升级过程中选择“不更改”选项的“数据库字符集和校对”步骤 - 如果您的新的global.php文件中将它更改为UTF-8,则修改/languages/yourlanguage/global.php以使用现有的_CHARSET值
define('_CHARSET', 'UTF-8');
升级 XoopsEditor 包:在 XOOPS 2.3.2b 包中,包含了五个编辑器:纯文本文本编辑器dhtmltextarea和textarea,FCKeditor,tinymce和koivi用于所见即所得的HTML。由于fckeditor和tinymce编辑器中的目录结构都发生了变化,建议在上传新编辑器之前先删除现有编辑器。如果您使用fckeditor作为模块,请根据/fckeditor/modules/中的文件修改特定模块的配置,尤其是如果您使用“文章”模块。 调试信息显示级别 ----------------------------------- 从 XOOPS 2.3.1 开始,调试信息显示级别被启用,作为 2.3* 的临时解决方案,以便向不同级别的用户显示调试信息:对所有用户,对会员或仅对管理员。该配置可以在/xoops_data/configs/xoopsconfig.php中设置。在 XOOPS 3.0 中重新设计了新的调试信息渲染器。 文件完整性检查 ----------------------------------- 完整的 XOOPS 包附带了一个脚本来检查是否所有系统文件都已正确上传到服务器。使用方法如下: 1. 将位于 XOOPS 包根目录中的 checksum.php 和 checksum.md5 文件上传到您的 XOOPS 服务器文件夹(将其放置在 mainfile.php 旁边)。 2. 使用浏览器执行 checksum.php 3. 如果需要,重新上传丢失或损坏的系统文件 4. 从您的服务器中删除 checksum.php 和 checksum.md5 模块 ----------------------------------- 本发行版仅包含“系统相关模块”。如果您需要其他功能,请浏览 XOOPS 模块仓库。注意:由于正在构建新的仓库,当前仓库可能不是最新的,请访问个别开发者的网站以确保您使用的是模块的最新版本。 如何贡献 ----------------------------------- 缺陷报告: http://sourceforge.net/tracker/?group_id=41586&atid=430840 补丁和增强: http://sourceforge.net/tracker/?group_id=41586&atid=430842 功能设计: http://sourceforge.net/tracker/?group_id=41586&atid=430843 发布公告: https://lists.sourceforge.net/lists/listinfo/xoops-announcement XOOPS 开发团队 2008年12月7日