ITBear旗下自媒体矩阵:

DedeCMS曝高危漏洞 360提醒站长快打补丁

   时间:2013-01-22 14:36:10 来源:互联网编辑:星辉 发表评论无障碍通道

第三方漏洞报告平台乌云最新曝光DedeCMS(织梦)建站系统SQL注入漏洞(http://zone.wooyun.org/content/2414)。攻击者可以借此漏洞实施攻击,直接窃取服务器数据。据360网站安全检测对注册用户的分析发现,半数以上使用DedeCMS系统的网站受到该漏洞威胁,建议站长尽快安装织梦官方补丁。

DedeCMS在国内应用广泛,是目前最流行的建站系统之一。本次曝光的漏洞已经影响网易、万网、人人、CSDN以及织梦官方演示站点等众多知名网站,还有大批中小网站同样存在漏洞风险,广大站长应予以高度重视。

 

图1:前面通过is_numeric判断

据360安全工程师分析,DedeCMS最新曝光的SQL注入漏洞存在于/plus/search.php中,其中的$typeid变量被二次覆盖导致前面的判断失效,从而产生漏洞。而且,包括GBK版本和UTF-8版本的DedeCMSV5.7均存在这一漏洞。

 

图2:直接覆盖$typeid的值,导致SQL注入漏洞产生

 

图3:攻击者能直接利用该漏洞直获取网站数据库信息(demo)

目前,织梦DedeCMS官网已经发布补丁程序,360网站安全检测平台第一时间向注册用户群发了告警邮件,提醒用户尽快打补丁,防止黑客拖库攻击。同时,360网站工程师建议网站管理员及个人站长使用360网站安全检测平台对网站进行全面体检,掌握网站安全状况,并使用360网站卫士防御黑客攻击。

织梦官方补丁程序下载地址:

http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130115.zip

关于360网站安全服务

360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

关于奇虎360科技有限公司

360(NYSE:QIHU)是中国领先的互联网安全服务提供商。按照用户数量计算,目前360是中国前三大互联网公司之一。据第三方数据显示,作为互联网“免费安全”的首创者,360为逾4亿中国互联网用户提供领先的互联网和无线安全产品及服务,用户渗透率逾90%。360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version