Discuz! 官方交流社區(qū)
標(biāo)題: Discuz! X & UCenter出現(xiàn)高風(fēng)險(xiǎn)安全漏洞,請(qǐng)各位站長(zhǎng)盡快修復(fù)! [打印本頁(yè)]
作者: dashen 時(shí)間: 2021-6-30 08:56
標(biāo)題: Discuz! X & UCenter出現(xiàn)高風(fēng)險(xiǎn)安全漏洞,請(qǐng)各位站長(zhǎng)盡快修復(fù)!
尊敬的 Discuz! X 用戶(hù),您好!
近日,Discuz!安全中心監(jiān)測(cè)到一個(gè)UCenter的高風(fēng)險(xiǎn)安全問(wèn)題,可能會(huì)導(dǎo)致部分站點(diǎn)無(wú)法正確統(tǒng)計(jì)登錄失敗次數(shù),導(dǎo)致站點(diǎn)存在被密碼爆破的風(fēng)險(xiǎn)。通過(guò)特殊配置或設(shè)計(jì)的程序可以通過(guò)無(wú)限次數(shù)破解密碼的方式非法控制賬號(hào)。
漏洞詳情
在 Discuz! X3.2 Release 20141225 版本以及同期發(fā)布的 UCenter 軟件中,開(kāi)發(fā)了一個(gè)部分生效的 “允許用戶(hù)登錄失敗次數(shù)” 功能,但此功能未完整開(kāi)發(fā)之后僅僅注釋了界面上的功能項(xiàng),后續(xù)版本也沒(méi)有繼續(xù)開(kāi)發(fā),導(dǎo)致部分站點(diǎn)的 login_failedtime 在 UCenter 后臺(tái)基本設(shè)置處保存時(shí)被設(shè)置成 0 ,而由于不同功能項(xiàng)對(duì) 0 的處理方式有差異導(dǎo)致系統(tǒng)內(nèi)對(duì)此情況的處理手段是不記錄登錄失敗次數(shù)而在提示信息中固定返回 4 次,導(dǎo)致漏洞發(fā)生,所以如果你的網(wǎng)站輸錯(cuò)密碼不管多多少次都提示還可以嘗試4次,那么請(qǐng)立即更新修復(fù)。
Discuz! X安裝時(shí),默認(rèn)不會(huì)觸發(fā)這個(gè)漏洞,只有當(dāng)管理員進(jìn)入U(xiǎn)Center,設(shè)置保存UCenter設(shè)置時(shí),才會(huì)導(dǎo)致 login_failedtime 被設(shè)置為0,從而觸發(fā)漏洞。
風(fēng)險(xiǎn)等級(jí)
高
影響版本
Discuz! X 2014年12月25日 至 2021年6月28日 之間的所有版本(X3.2、X3.3、X3.4、X3.5)
單獨(dú)使用UCenter的用戶(hù)請(qǐng)參照上述日期比對(duì)文件
您可以到應(yīng)用中心下載“2021年6月新漏洞專(zhuān)項(xiàng)檢測(cè)修復(fù)工具”,查看自己的站點(diǎn)是否已受到了影響。
安全版本
2021-06-29 及以后的 Discuz! X 和 UCenter
修復(fù)建議
1. 目前官方已修復(fù)該漏洞,建議受影響的用戶(hù)盡快升級(jí)至最新版本:https://gitee.com/Discuz/DiscuzX/attach_files
2. 無(wú)法升級(jí)最新版本的用戶(hù),可以先運(yùn)行“2021年6月新漏洞專(zhuān)項(xiàng)檢測(cè)修復(fù)工具”修復(fù)出錯(cuò)的數(shù)據(jù),并參考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站點(diǎn)文件。
【備注】:建議您在升級(jí)前做好數(shù)據(jù)備份工作,測(cè)試并評(píng)估業(yè)務(wù)運(yùn)行狀況,避免出現(xiàn)意外
更詳細(xì)的內(nèi)容請(qǐng)閱讀下方的 Discuz! X 安全公告 進(jìn)行了解。
作者: dashen 時(shí)間: 2021-6-30 09:18
附件1:安全公告全文
Discuz! X 安全公告
【2021】第 1 號(hào)
2021 年 06 月 29 日
問(wèn)題簡(jiǎn)述
現(xiàn)已發(fā)現(xiàn)一個(gè)高風(fēng)險(xiǎn)安全問(wèn)題,可能會(huì)導(dǎo)致部分站點(diǎn)無(wú)法正確統(tǒng)計(jì)登錄失敗次數(shù),導(dǎo)致站點(diǎn)存在被密碼爆破的風(fēng)險(xiǎn)。通過(guò)特殊配置或設(shè)計(jì)的程序可以通過(guò)無(wú)限次數(shù)破解密碼的方式非法控制賬號(hào)。
請(qǐng)各位各位站長(zhǎng)、站點(diǎn)管理運(yùn)維人員盡快推動(dòng)所涉及軟件的版本更新,如無(wú)法升級(jí)也請(qǐng)參考相關(guān)指導(dǎo)對(duì)軟件進(jìn)行修補(bǔ),保障站點(diǎn)安全。
由于本安全問(wèn)題給您造成的不便我們深感歉意,并感謝各位站長(zhǎng)、站點(diǎn)管理運(yùn)維人員對(duì)我們的理解與支持。
受影響的軟件版本
UCenter 1.6.0 在 2014 年 12 月 25 日至 2021 年 06 月 27 日間發(fā)布的全部版本
UCenter 1.7.0 截至 2021 年 6 月 28 日的全部每日構(gòu)建版本和開(kāi)發(fā)版本
Discuz! X3.2 Release 20141225 以及更高版本
Discuz! X3.3 全部已發(fā)布的 Release 版本
Discuz! X3.4 Release 20210520 以及更低版本
Discuz! X3.4 截至 2021 年 6 月 27 日的全部每日構(gòu)建版本和開(kāi)發(fā)版本
Discuz! X3.5 截至 2021 年 6 月 28 日的全部每日構(gòu)建版本和開(kāi)發(fā)版本
上述軟件中只有 UCenter 1.6.0 在 2021 年 05 月 20 日發(fā)布的版本以及 Discuz! X3.4 Release 20210520 處于非 EOL 狀態(tài),其他涉及的 Release 版本均已 EOL ,不再進(jìn)行維護(hù)。
常見(jiàn)問(wèn)題解答
Q: 對(duì)于未涉及到的軟件或版本是否應(yīng)該繼續(xù)運(yùn)行?
A: 未涉及到的軟件或版本 ( 包括但不限于 Discuz! X <= 3.2 , UCenter <= 1.6.0 , Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系,但不含 Discuz! Q ) 雖然不受本安全問(wèn)題影響,但相關(guān)軟件均已處于 EOL 狀態(tài),不再進(jìn)行維護(hù),且近期已發(fā)現(xiàn)多個(gè)涉及相關(guān)軟件的中低風(fēng)險(xiǎn)安全問(wèn)題并已在最新版本給予修復(fù)。同時(shí) Discuz! X3.4 近期也提供了大量新功能改進(jìn)、用戶(hù)體驗(yàn)提升、安全性提升、 BUG 修復(fù)等,包括但不限于應(yīng)對(duì)內(nèi)容安全相關(guān)問(wèn)題進(jìn)行的內(nèi)容重新審核功能以及內(nèi)容安全功能兜底提升,應(yīng)對(duì) FLASH 停止維護(hù)所提供的 HTML5 附件上傳、HTML5 多媒體播放功能,以及對(duì) HTTPS 支持等功能進(jìn)行優(yōu)化等。并且 Discuz! X3.4 具有較好的環(huán)境兼容性,可以同時(shí)支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本,兼容絕大多數(shù)原 X3 之后發(fā)布的插件和模板。因此如您暫未有停止運(yùn)營(yíng)計(jì)劃,建議您安排版本升級(jí),以最大限度保障站點(diǎn)安全以及提高用戶(hù)體驗(yàn)。
Q: 對(duì)于此安全漏洞建議如何處理?
A: 本故障涉及 Discuz! X3.2 Release 20141225 以及更高版本,相關(guān)站點(diǎn)存在被密碼爆破的風(fēng)險(xiǎn),需要盡快升級(jí)解決問(wèn)題。在此建議您升級(jí)到 Discuz! X3.4 Release 20210629 以及其配套的 UCenter 軟件。相關(guān)軟件可以從 https://gitee.com/Discuz/DiscuzX 下載。
Q: 如何進(jìn)行標(biāo)準(zhǔn)升級(jí)操作?
A: 如您使用的是 Discuz! X3.2 或更高版本,請(qǐng)使用 Discuz! X3.4 Release 20210629 對(duì)應(yīng)語(yǔ)言對(duì)應(yīng)編碼的軟件覆蓋您當(dāng)前使用的軟件。如 UCenter 不處于默認(rèn)目錄下或處于不同服務(wù)器下,您需要對(duì) UCenter 也進(jìn)行覆蓋操作。雖然代碼中進(jìn)行了重映射的規(guī)避措施,但仍建議站點(diǎn)到 UCenter 后臺(tái)基本設(shè)置處修改本設(shè)置為合理值,隨后查看通知列表所涉及站點(diǎn)的 `uc_client/data/cache/settings.php` 緩存文件中的 `login_failedtime` 項(xiàng)是否為大于 0 的值以及其他選項(xiàng)是否正確,以免出現(xiàn)其他功能異常。
Q: 如果無(wú)法進(jìn)行版本升級(jí)該如何處理?
A: 可以到應(yīng)用中心下載 “ 2021年6月新漏洞專(zhuān)項(xiàng)檢測(cè)修復(fù)工具 ” ,查看自己的站點(diǎn)是否已受到了影響以及提供臨時(shí)緩解措施。如希望通過(guò)覆蓋函數(shù)方式解決問(wèn)題,也請(qǐng)?jiān)诟采w https://gitee.com/Discuz/DiscuzX/pulls/1092 所涉及函數(shù)后參考 https://gitee.com/Discuz/DiscuzX/pulls/675 以及 https://gitee.com/Discuz/DiscuzX/pulls/628 代碼更新站點(diǎn) UCenter 通信相關(guān)部分函數(shù)代碼,避免新配置無(wú)法下發(fā)。另外也可以參考其他安全相關(guān) commit 對(duì)其他安全問(wèn)題進(jìn)行加固。
技術(shù)細(xì)節(jié)
在 Discuz! X3.2 Release 20141225 版本以及同期發(fā)布的 UCenter 軟件中( 版本代碼內(nèi)容后附 ),開(kāi)發(fā)了一個(gè)部分生效的 “允許用戶(hù)登錄失敗次數(shù)” 功能,但此功能未完整開(kāi)發(fā)之后僅僅注釋了界面上的功能項(xiàng),后續(xù)版本也沒(méi)有繼續(xù)開(kāi)發(fā)。
注釋功能項(xiàng)后會(huì)導(dǎo)致部分站點(diǎn)的 `login_failedtime` 在 UCenter 后臺(tái)基本設(shè)置處保存時(shí)被設(shè)置成 0 ,而由于不同功能項(xiàng)對(duì) 0 的處理方式有差異導(dǎo)致系統(tǒng)內(nèi)對(duì)此情況的處理手段是不記錄登錄失敗次數(shù)而在提示信息中固定返回 4 次,導(dǎo)致 Bug 發(fā)生。
此版本通過(guò)對(duì) Discuz! X 以及 UCenter 、 UC_Client 進(jìn)行修改,完成該功能點(diǎn)的開(kāi)發(fā),同時(shí)新增重映射規(guī)避措施以解決相關(guān)問(wèn)題。
版本代碼內(nèi)容參見(jiàn): https://gitee.com/popcorner/dzhi ... ffba32f7b0f356d0d56
補(bǔ)丁代碼詳見(jiàn): https://gitee.com/Discuz/DiscuzX/pulls/1092
安全提示
我們強(qiáng)烈建議您使用仍在相關(guān)軟件開(kāi)發(fā)團(tuán)隊(duì)支持期內(nèi)的操作系統(tǒng)、 Web 服務(wù)器、 PHP 、數(shù)據(jù)庫(kù)、內(nèi)存緩存等軟件,超出支持期的軟件可能會(huì)對(duì)您的站點(diǎn)帶來(lái)未知的安全隱患。
Discuz! X 以及 UCenter 軟件當(dāng)前 Release 版本發(fā)布規(guī)則為當(dāng)前大版本下有新的 Release 版本發(fā)布時(shí),之前的 Release 版本將自動(dòng)處于 EOL 狀態(tài),不再進(jìn)行維護(hù),請(qǐng)站點(diǎn)在新版本發(fā)布后主動(dòng)更新到新的 Release 版本。
請(qǐng)各位站長(zhǎng)、站點(diǎn)管理運(yùn)維人員以及插件、模板開(kāi)發(fā)者保持對(duì) Discuz! X 官方站 https://www.discuz.net/ 以及 Discuz! X 官方 Git 倉(cāng)庫(kù) https://gitee.com/Discuz/DiscuzX 的關(guān)注,以便在安全漏洞發(fā)生時(shí)可進(jìn)行修補(bǔ),讓自己的站點(diǎn)時(shí)刻保持最安全的狀態(tài)!
Discuz! X 社區(qū)
2021 年 06 月 29 日
作者: neol 時(shí)間: 2021-6-30 13:52
贊一下,Discuz! X 社區(qū) 開(kāi)發(fā)團(tuán)隊(duì)的反應(yīng)速度,和效率。
立即去更新了!
作者: edee134 時(shí)間: 2021-6-30 16:55
您的站點(diǎn)程序中未發(fā)現(xiàn)修復(fù)漏洞的代碼,請(qǐng)及時(shí)修復(fù)!直接升級(jí)至Discuz!最新版本即可修復(fù)問(wèn)題,您也可以參考官方文檔手動(dòng)修復(fù)。
暫時(shí)沒(méi)有時(shí)間修復(fù)的,可以使用本工具的修復(fù)數(shù)據(jù)功能一鍵修復(fù)存在問(wèn)題的數(shù)據(jù)(但不能從根本解決問(wèn)題)
您的站點(diǎn)配置目前沒(méi)有受到影響。
作者: 螞蟻?zhàn)?nbsp; 時(shí)間: 2021-8-7 08:05
感謝分享,支持一下。
作者: a1241328428 時(shí)間: 2023-1-3 14:32
UCenter的范例程序包啥時(shí)候能更新一下,還是用的php5.x的語(yǔ)法,mysql連接都是報(bào)錯(cuò)的
作者: tuhemm 時(shí)間: 2023-3-29 18:09
提示: 作者被禁止或刪除 內(nèi)容自動(dòng)屏蔽
作者: qwexiamen 時(shí)間: 2023-4-10 14:04
謝謝分享
| 歡迎光臨 Discuz! 官方交流社區(qū) (http://m.sdtechgong.com.cn/) |
Powered by Discuz! X5.0 |