DedeCMS高危漏洞威胁40万家网站 360提供检测

安全
港交所网站被黑事件尚未平息,一个影响更为广泛的DedeCMS系统高危漏洞又被黑客捅了出来。公开数据显示,使用DedeCMS系统的国内互联网站接近40万家,覆盖企业、教育机构、数字传媒等各个领域。

港交所网站被黑事件尚未平息,一个影响更为广泛的DedeCMS系统高危漏洞又被黑客捅了出来。公开数据显示,使用DedeCMS系统的国内互联网站接近40万家,覆盖企业、教育机构、数字传媒等各个领域。截至发稿前,DedeCMS仍未发布官方补丁修复漏洞,为此360网站安全检测平台(webscan.360.cn)已紧急提供了临时解决方案,提醒广大网站站长尽快参考方案修复漏洞。

DedeCMS是国内第一个开源的网站内容管理系统,在CMS市场受到大批网站站长的欢迎。不过最近有技术论坛发现,该系统的全局变量初始化存在漏洞,可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器,造成网站用户数据泄露、页面被恶意篡改等严重后果。

据此前360安全中心发布的《互联网安全报告》显示:今年以来,黑客攻击网站服务器,窃取用户数据造成的危害已经超过盗号木马。很多网民即便电脑没有中木马,账号和密码也会由于网站漏洞而被黑客窃取。因此,DedeCMS漏洞不仅关系着数十万家网站的服务器安全,对网民的切身利益也造成了间接影响。

360网站安全检测平台提醒广大站长,该平台已经第一时间支持DedeCMS最新漏洞的检测,使用DedeCMS开发的网站站长可登录webscan.360.cn免费检测。一旦发现网站存在漏洞,在DedeCMS官方补丁发布之前,应尽快按照如下应急方案进行处理(以DedeCMS 5.6为例):

在DedeCMS系统的/include/common.inc.php中,找到注册变量的代码:

 

  1. foreach(Array('_GET','_POST','_COOKIE') as $_request)  
  2. {  
  3.          foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);  
  4. }  
  5. 将其修改为:  
  6. foreach(Array('_GET','_POST','_COOKIE') as $_request)  
  7. {  
  8.          foreach($$_request as $_k => $_v) {  
  9.                     if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){  
  10.                             exit('Request var not allow!');  
  11.                    }  
  12.                     ${$_k} = _RunMagicQuotes($_v);  
  13.     }  
  14. }  

 

【编辑推荐】

  1. 病毒防御:360杀毒“3D防御”效果实测
  2. 三种微博病毒威胁行为解析
  3. 金山毒霸声明:邀请360共同推动制定杀软性能评测标准
  4. 微软补丁星期二:修复关键IE和Windows DNS漏洞
  5. Hyper-V安全威胁靠边站 安全配置不难办
责任编辑:Writer 来源: 51cto.com
相关推荐

2013-04-11 12:41:54

2021-07-30 20:32:21

Zimbra漏洞数据泄漏

2011-07-29 14:22:20

2011-01-28 14:33:03

360诈骗

2011-09-15 17:36:02

投影仪用户体验

2013-08-07 11:33:49

2012-08-30 16:23:53

2015-01-16 17:22:35

2022-07-13 14:07:33

网络钓鱼网络攻击

2012-03-29 18:32:48

2012-03-23 15:19:33

2015-12-24 11:32:00

2016-12-02 20:27:27

Yelp数据可视化机器学习算法

2012-02-17 10:29:11

2015-03-16 11:40:23

2016-02-15 13:15:37

2021-04-14 10:53:33

DNS漏洞物联网设备

2024-09-30 13:31:57

2023-04-04 22:20:53

2013-06-17 09:22:05

Windows Azu微软公有云
点赞
收藏

51CTO技术栈公众号