DedeCMS高危漏洞威脅40萬家網(wǎng)站 360提供檢測
港交所網(wǎng)站被黑事件尚未平息,一個影響更為廣泛的DedeCMS系統(tǒng)高危漏洞又被黑客捅了出來。公開數(shù)據(jù)顯示,使用DedeCMS系統(tǒng)的國內互聯(lián)網(wǎng)站接近40萬家,覆蓋企業(yè)、教育機構、數(shù)字傳媒等各個領域。截至發(fā)稿前,DedeCMS仍未發(fā)布官方補丁修復漏洞,為此360網(wǎng)站安全檢測平臺(webscan.360.cn)已緊急提供了臨時解決方案,提醒廣大網(wǎng)站站長盡快參考方案修復漏洞。
DedeCMS是國內第一個開源的網(wǎng)站內容管理系統(tǒng),在CMS市場受到大批網(wǎng)站站長的歡迎。不過最近有技術論壇發(fā)現(xiàn),該系統(tǒng)的全局變量初始化存在漏洞,可能導致黑客利用漏洞侵入使用DedeCMS的網(wǎng)站服務器,造成網(wǎng)站用戶數(shù)據(jù)泄露、頁面被惡意篡改等嚴重后果。
據(jù)此前360安全中心發(fā)布的《互聯(lián)網(wǎng)安全報告》顯示:今年以來,黑客攻擊網(wǎng)站服務器,竊取用戶數(shù)據(jù)造成的危害已經超過盜號木馬。很多網(wǎng)民即便電腦沒有中木馬,賬號和密碼也會由于網(wǎng)站漏洞而被黑客竊取。因此,DedeCMS漏洞不僅關系著數(shù)十萬家網(wǎng)站的服務器安全,對網(wǎng)民的切身利益也造成了間接影響。
360網(wǎng)站安全檢測平臺提醒廣大站長,該平臺已經第一時間支持DedeCMS最新漏洞的檢測,使用DedeCMS開發(fā)的網(wǎng)站站長可登錄webscan.360.cn免費檢測。一旦發(fā)現(xiàn)網(wǎng)站存在漏洞,在DedeCMS官方補丁發(fā)布之前,應盡快按照如下應急方案進行處理(以DedeCMS 5.6為例):
在DedeCMS系統(tǒng)的/include/common.inc.php中,找到注冊變量的代碼:
- foreach(Array('_GET','_POST','_COOKIE') as $_request)
- {
- foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
- }
- 將其修改為:
- foreach(Array('_GET','_POST','_COOKIE') as $_request)
- {
- foreach($$_request as $_k => $_v) {
- if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
- exit('Request var not allow!');
- }
- ${$_k} = _RunMagicQuotes($_v);
- }
- }
【編輯推薦】
