【公告】發(fā)現(xiàn)嚴(yán)重安全漏洞、補(bǔ)丁及解決方法
漏洞現(xiàn)象:黑客可以利用漏洞上傳木馬程序到網(wǎng)站,然后利用木馬進(jìn)一步取得網(wǎng)站控制權(quán)。
安全等級(jí):嚴(yán)重
受影響版本:動(dòng)力/動(dòng)易所有版本
漏洞分析:
因上傳文件在設(shè)計(jì)上存在著一處考慮不周的情況,使用黑客可以通過自己構(gòu)造上傳文件表單進(jìn)行提交上傳數(shù)據(jù),然后上傳擴(kuò)展名為.cer的文件(此文件也是通過asp.dll)來解析。
解決方法:
1、檢查網(wǎng)站目錄中是否存在擴(kuò)展名為.cer和.cdx的文件,若有,立即刪除。
2、在網(wǎng)站屬性中刪除全部映射,只留下.asp和.asa兩個(gè)映射。特別要?jiǎng)h除.cer的映射(可選)。
3、修改UpFile_Article.asp、Upfile_Dialog.asp、UpFile_Photo.asp、UpFile_Soft.asp、Upfile_AdPic.asp、UpFile_SoftPic.asp這幾個(gè)有關(guān)上傳的文件,找到如下這行:
動(dòng)易用戶:
for each FormName in objUpload.file '列出所有上傳了的文件
動(dòng)力用戶:
for each formName in upload.file '列出所有上傳了的文件
在這一行下加上如下這一行代碼:
EnableUpload=False
即可?;蛘呦螺d我們提供的補(bǔ)丁,覆蓋原文件。
4、最好檢查一下網(wǎng)站中的所有文件。如果是自己的服務(wù)器,請(qǐng)?jiān)贆z查是否已經(jīng)上傳了其他木馬程序。
補(bǔ)丁下載:
===============================
動(dòng)易用戶: http://www.costablancaproholidays.com/download/patch4x.rar 動(dòng)力用戶: http://www.costablancaproholidays.com/download/patch3x.rar
===============================
用戶登錄
還沒有賬號(hào)?
立即注冊(cè)