DedeCMS再曝Sql注入漏洞 加速乐发布临时补丁

继加速乐于2013年03月29日预警“dedecms(织梦CMS)本地包含漏洞”(http://jiasule.com/news/5155448375db5c2f03000000/ )后,近日,国内著名第三方漏洞平台曝光了dedecms(织梦CMS)一个的sql注入漏洞细节,经知道创宇网站安全中心研究人员分析发现,该漏洞与知道创宇安全研究人员之前自主发现上并报给官方的sql注入漏洞为同一个漏洞。目前官方还没有给出任何的解决方案及补丁方式,该漏洞仍属“0day漏洞”。我们再次发出预警,提醒站长们注意,该漏洞属于“高危”漏洞,可以导致攻击者控制网站服务器,最终实现“挂马”、恶意篡改”、“脱库”等恶意攻击。我们已积极再次联系dedecms官方,希望得到官方重视!请各位站长关注我们的微博及官方消息,复查网站安全。同时知道创宇安全防护产品加速乐可成功防御该漏洞,加速乐用户不受此漏洞影响!

关于dedecms(织梦CMS)

DedeCMS基于PHP+MySQL的技术开发,支持多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCMS以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是“黑客”密切关注的对象!
官方网站:www.dedecms.com

推荐使用加速乐防御此类漏洞,同时建议广大站长启用以下临时补丁修复漏洞。

临时安全补丁

/plus/feedback.php 264-265行里的代码:

        $arctitle = $row['arctitle'];

改为:

        $arctitle = addslashes($row['arctitle']);

名词解释

0day漏洞:是指已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。

sql注射漏洞:是应用程序常见的一种漏洞类型,也叫“SQL Injection”或“sql注入”。可以直接危及到网站数据安全导致网站“脱库”,甚至直接危及到网站服务器系统安全。属于“高危”漏洞。

关于加速乐及知道创宇

“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

“知道创宇”(www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力,帮助用户应对变化多端的互联网安全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。

发表评论

电子邮件地址不会被公开。