2021年6月漏洞专修1.0.0(cdc_sagfosib)
[复制链接]
|
- 插件版本 : F1.0 X3.4 X3.3/X3.2
- 插件分类 : 小工具
如无特别说明,本资源为 绿色无加密资源,开放代码,下载即可用于任意个网站,无任何限制! 安全稳定可靠!
本站资源仅供个人研究/学习/欣赏使用,请勿用于非法用途,否则产生的一切后果将由您自己承担! 推荐购买官方正版,使用正版,您可获得更好的体验和权益!【版权投诉】
【魔趣吧评测】2021年6月漏洞专修1.0.0(cdc_sagfosib)0 [$ Y q6 w! f, W) E5 C" J
; b( N2 B7 o" Q4 Z6 F z
尊敬的 Discuz! X 用户,您好!
9 _+ z- i- I2 z# C# ]' {$ v$ Q' b/ U8 d5 i' S
近日,Discuz!安全中心监测到一个UCenter的高风险安全问题,可能会导致部分站点无法正确统计登录失败次数,导致站点存在被密码爆破的风险。通过特殊配置或设计的程序可以通过无限次数破解密码的方式非法控制账号。" B' M( x. b: w
& D3 h n! F! Y" q8 U# l5 S漏洞详情* J$ Z% G" ~: m) X
在 Discuz! X3.2 Release 20141225 版本以及同期发布的 UCenter 软件中,开发了一个部分生效的 “允许用户登录失败次数” 功能,但此功能未完整开发之后仅仅注释了界面上的功能项,后续版本也没有继续开发,导致部分站点的 login_failedtime 在 UCenter 后台基本设置处保存时被设置成 0 ,而由于不同功能项对 0 的处理方式有差异导致系统内对此情况的处理手段是不记录登录失败次数而在提示信息中固定返回 4 次,导致漏洞发生,所以如果你的网站输错密码不管多多少次都提示还可以尝试4次,那么请立即更新修复。
5 z& @9 B2 d! K) M) v W" V: e. Q9 ]! Y% m1 t' p* T9 e
Discuz! X安装时,默认不会触发这个漏洞,只有当管理员进入UCenter,设置保存UCenter设置时,才会导致 login_failedtime 被设置为0,从而触发漏洞。
$ j g7 ~1 c- W
3 r5 @7 t: R. D: b风险等级
: Q. W7 I( q* i( s B高! F' _. S ~8 z/ T& \, A
6 |! s, _' K9 ^8 q
影响版本; u F5 j% |) |% o% Y1 W. L
Discuz! X 2014年12月25日 至 2021年6月28日 之间的所有版本(X3.2、X3.3、X3.4、X3.5)0 E3 O& |: m% ~
单独使用UCenter的用户请参照上述日期比对文件3 _% ~8 ~" l6 c
4 `: g/ Z7 c8 j# g% X
您可以到应用中心下载“2021年6月新漏洞专项检测修复工具”,查看自己的站点是否已受到了影响。
" ~& ]$ A6 N" _) _- w3 B. \9 e1 O; @$ x
3 Y5 k+ B- b5 I0 P7 v! h5 m, v1 q安全版本6 z+ M; O6 u, w* N r" A
2021-06-29 及以后的 Discuz! X 和 UCenter; t8 ` l, w- i4 t2 Y9 m
, E, c; X* o4 c1 F; b1 w修复建议8 m6 l* M$ w# @! F, E: h0 _
" _# q: g- g6 w/ B. Z1. 目前官方已修复该漏洞,建议受影响的用户尽快升级至 *** 版本:https://gitee.com/Discuz/DiscuzX/attach_files
( ]+ T. g9 T+ v+ D. ~) X2. 无法升级 *** 版本的用户,可以先运行“2021年6月新漏洞专项检测修复工具”修复出错的数据,并参考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站点文件。8 z/ T' O! m' {0 p) ~
【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外
6 i' U1 U+ t( @# t# l! U' C& Y* u H5 I! ~
更详细的内容请阅读 Discuz! X 安全公告 进行了解。; F4 c* f, ~) X4 P; u2 u n8 w" [! e
" W5 v& \$ O4 R8 _' u" s5 ~
2 L! s0 M) D! n4 y2 Y1 y2 a1 I) M8 ?1 z; l
; S4 A! |& \2 k6 m' D3 p 下载地址:【魔趣吧提示】此资源经过魔趣吧测试可用!如使用发现问题或者有技术问题,可 发帖 免费咨询或者咨询本站客服寻求付费技术支持! | " ?; p7 [. l0 Y
% s( y3 r* |/ \2 y+ k7 c
2 R* V0 U( ]! i) K6 @
) M8 r" h1 k+ A' A/ J% t$ ^# J2 L) A# S( m1 e% E$ e- R) B+ ]
. N4 i1 [8 H% }% D O- O3 _; p) Z( W5 v1 f
|
|