XOOPS
新闻
新闻 XOOPS 世界杯 开发者 漏洞 主题 存档 提交新闻
RSS feed

XOOPS 2.5.6 安全补丁

与以往一样,安全性是XOOPS的首要任务!

当前使用XOOPS 2.5.6的用户鼓励下载并应用安全补丁。

下载:SourceForge 文件仓库


此安全补丁修复了一些由Mehdi Dadkhah发现并由Richard Griffith修复的潜在XSS问题。

虽然目前安装了Protector的2.5.6网站对此XSS漏洞是安全的,但我们强烈建议此补丁应用至所有XOOPS 2.5.6网站


仅仅强调应该始终安装Protector是远远不够的!!!


如何应用补丁
--------------------------
您至少需要PHP 5.3.7

只需将此Zip文件中/htdocs文件夹内的所有文件复制到您的XOOPS网站。
不需要其他操作。


==============================================
针对2.5.6版本之前的XOOPS用户
==============================================

请尽快更新到XOOPS 2.5.6。始终记住,当前版本是最稳定和最安全的,也就是说,旧版本可能会存在已在新版本中修复的漏洞。

截至目前,所有可下载的XOOPS 2.5.6版本都已修复。

祝愿大家Xoops使用愉快且安全!

XOOPS 核心团队
2013-09-24
阅读更多... | 11条评论

XOOPS 2.5.5 安全补丁

鼓励使用XOOPS 2.5.5的用户下载并应用安全补丁

此补丁已包含在即将发布的XOOPS 2.5.6中,应在Beta版本测试完成后的下周内发布。

下载: SourceForge 文件仓库
阅读更多... | 11条评论

XOOPS 2.3.3 安全补丁

正如之前在论坛上讨论的那样,已经在以下模块中发现了潜在漏洞:

PM
Protector

模块。

通过安装防护器可解决(a)问题,通过禁用“register_globals”并将XOOPS_TRUST_PATH设置在Document Root之外可解决(b)问题,我们在XOOPS 2.4中解决了这些问题。

然而,由于我们不知道确切的发布时间,因此我们发布了XOOPS 2.3.3用户的这个安全补丁。

下载: SourceForge XOOPS.

安装:请参阅ReadMe.txt文件

强烈建议您将补丁应用到现有的XOOPS 2.3.3系统上。

特别感谢Trabis解决了这些问题。
阅读更多... | 21条评论

将Protector置于DocumentRoot中存在的漏洞

我们了解到,如果将Protector放在DocumentRoot中,存在一个漏洞

这适用于XOOPS的所有版本,如果包含Protector的XOOPS_TRUST_PATH(或xoops_lib)目录位于DocumentRoot中。

如我们一直与您沟通的(例如,在本文使您的XOOPS安装更加安全指南中),最佳解决方案是将您的xoops_lib文件夹放置在webroot路径之外。您还应该将xoops_lib的名称更改为其他名称,并相应地修改mainfile.php。

如果不行,添加主要为保护您的Protector模块的.htaccess

order deny,allow 
 deny from all

.htaccess放置在/xoops_lib或您的XOOPS_TRUST_PATH名称。

如果您的服务器不允许设置或启用.htaccess,则在您服务器上关闭global_register

如果您无法完成上述任何一项,那么唯一的解决方案是从您的服务器中删除Protector模块并等待模块的完整修复。

当然,最佳方案是拥有干净且安全的代码。遗憾的是,我们错过了这个安全漏洞,但我们正在解决这个问题,并将很快发布。
阅读更多... | 10条评论

XOOPS 2.3.2b - 安全发布

安全性始终是XOOPS开发者的首要任务。因此,XOOPS开发团队很高兴宣布发布改进的XOOPS 2.3.x版本XOOPS 2.3.2b

此发布版本仅针对几个关键修复,包括数字安全研究小组(或DSRG)报告的XSS漏洞、DSRG报告的潜在本地文件包含漏洞、Dylian报告的自动登录漏洞、boy0917报告的数据同步问题以及ezsky报告的xoopsmailer漏洞。

在2.3.2b版本中,我们在DSRG的帮助下进一步改进了安全修复。

强烈建议所有XOOPS 2.3.x用户尽快升级到这个版本。

XOOPS 2.0和2.2版本不受此处解决XSS问题的影响。 然而,所有安装了Protector模块的2.0和2.2用户都建议升级到本包中包含的版本以解决本地文件包含问题。

Sourceforge存储库下载。
阅读更多... | 10785字节更多 | 37条评论

针对XOOPS 2.0.x和2.2.x用户的Protector安全修复

安全问题一直是XOOPS的最高优先项,因此当我们找到可行的解决方案后,就会立即发布安全更新。

这是针对DSRG报告的潜在本地文件包含漏洞的《Protector》模块的临时快速修复方案。我们希望《Protector》的作者GIJOE能在未来的版本中解决此问题。

这个更新已包含在XOOPS 2.3.2a安全版本中,但如果您正在使用XOOPS 2.0.x或2.2.x版本的Protector模块,并且您的XOOPS_TRUST_PATH位于Root内部,建议您升级到本包中包含的版本。

如果您的XOOPS_TRUST_PATH位于Root外部(您应该这样!),则不受此漏洞的影响。

有关如何使您的XOOPS安装更加安全的更多信息,请阅读这篇文章

在这里下载修复方案

XOOPS开发团队
2008年11月28日
阅读更多... | 14条评论

XOOPS 2.3.2a - 安全版本

XOOPS开发团队很高兴地宣布发布XOOPS 2.3.2a

此次发布的版本仅包含几个关键的修复方案,包括Digital Research Group报告的XSS漏洞、DSG报告的潜在本地文件包含漏洞、Dylian报告的自动登录漏洞以及boy0917报告的数据同步逆向漏洞。

强烈建议所有XOOPS 2.3.x用户尽快升级到这个版本。

XOOPS 2.0和2.2版本不受此处所述的安全问题影响。但是,建议所有已安装Protector模块的2.0和2.2用户升级到本包中包含的版本。

Sourceforge代码库下载。
阅读更多... | 更多10370字节 | 48条评论

使您的XOOPS安装更安全指南

编写此指南的原因不是因为XOOPS CMS系统本身不安全。

它的目的是给新的XOOPS用户提供机会,通过一些修改,来使一个安全的安装更加安全。我们相信,现有用户也可以使用此指南来保护一个已经安装的XOOP网站。

这个指南是为XOOPS版本2.3.3RC作为核心版本编写的。

阅读更多... | 更多24352字节 | 21条评论

Bluemoon模块的安全更新

我们在源代码中发现了XSS漏洞。

Backpack v0.91或之前版本
Bmsurvey v0.84或之前版本
Newbb_fileup v1.83或之前版本
News_embed v1.44(news_fileup)或之前版本
Popnupblog v3.19或之前版本

如果您正在使用这些脚本,我们建议您立即更新。
跳转到供应商网站
阅读更多... | 3条评论

WF-Sections V2:新的漏洞和安全性问题(用户务必阅读)

就像往常一样,XOOPS开发人员致力于确保XOOPS代码的最高安全性。以下信息来自Catzwolf

引言

如果您仍在使用WF-Sections v1+和v2+,我建议您阅读以下内容。

我注意到有些人可能会利用一些非常糟糕的安全漏洞来访问您的网站。我建议这个模块的所有用户

1. 临时停用该模块(推荐)或者...
2. 更改XOOPS_ROOT_PATH/modules/wfsections/ratefile.php和print.php的名称。

我现在正在对所有WF-节的代码进行全面审计,并关闭这些以及可能在未来出现的所有潜在安全风险。

我将随时向大家通报更新情况。

约翰(又名Catzwolf)

想继续了解故事,请访问我们的讨论论坛
阅读更多... | 1条评论

Login

Register now!  |  Lost Password?

Search

Advanced Search

Recent Comments

Who's Online

278 user(s) are online (16 user(s) are browsing XOOPS News)

Members: 0

Guests: 278

more...

Donat-O-Meter

Stats
Goal: $100.00
Due Date: Aug 31
Gross Amount: $0.00
Net Balance: $0.00
Left to go: $100.00
Make donations with PayPal!

Latest GitHub Commits

Archives

News archives