Discuz! X 曝出高风险安全漏洞,请各位站长尽快修复

近日,Discuz! 安全中心监测到一个UCenter的高风险安全问题,它会导致部分站点无法正确统计登录失败次数,通过特殊配置或设计的程序可以通过无限次数破解密码的方式非法控制账号,以致站点存在被密码爆破的风险。Discuz! 提醒广大站长尽快升级 Discuz! X 到最新版,以修复此安全漏洞。

漏洞详情

在 Discuz! X3.2 Release 20141225 版本以及同期发布的 UCenter 软件中,开发了一个部分生效的 “允许用户登录失败次数” 功能,但此功能未完整开发之后仅仅注释了界面上的功能项,后续版本也没有继续开发,导致部分站点的 login_failedtime 在 UCenter 后台基本设置处保存时被设置成 0 ,而由于不同功能项对 0 的处理方式有差异导致系统内对此情况的处理手段是不记录登录失败次数而在提示信息中固定返回 4 次,导致漏洞发生,所以如果你的网站输错密码不管多多少次都提示还可以尝试4次,那么请立即更新修复。

Discuz! X安装时,默认不会触发这个漏洞,只有当管理员进入UCenter,设置保存UCenter设置时,才会导致 login_failedtime 被设置为0,从而触发漏洞。

影响版本

Discuz! X 2014年12月25日 至 2021年6月28日 之间的所有版本(X3.2、X3.3、X3.4、X3.5),单独使用UCenter的用户请参照上述日期比对文件。

您可以到应用中心下载“2021年6月新漏洞专项检测修复工具”,查看自己的站点是否已受到了影响。

修复建议

1. 目前官方已修复该漏洞,建议受影响的用户尽快升级至最新版本 Discuz!  X3.4 20210630 :https://gitee.com/Discuz/DiscuzX/attach_files
2. 无法升级最新版本的用户,可以先运行“2021年6月新漏洞专项检测修复工具”修复出错的数据,并参考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站点文件。

【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外。

升级方法

1、Discuz! X3.4全新安装教程 :https://www.dismall.com/thread-77-1-1.html

2、Discuz!  X3.4 自身升级:https://www.dismall.com/thread-9663-1-1.html

直接覆盖文件即可,建议用增量补丁包,升级到 X3.4 20210630。

3、补丁包升级方法:

1. 根据原有的语言版本下载升级包;

2. 解压缩,将目录中的文件上传至服务器,覆盖旧文件(操作前建议备份网站);

3. 使用创始人身份进入后台更新缓存。


历史上的今天:

相关推荐

网警提醒:你服务器的3306端口关闭了吗?

接到县网警大队的电话,说上面通报下来,我的【随风沐虐】网站存在高危漏洞,问题是3306端口未关闭。 这我不懂,我赶忙联系了技术官“明月登楼”,让其紧急处理一下。 技术官经过排查确认,没有问题。服务器3306端口本来就是关闭的,不对外开放的,仅供内部请求。在 iptables 规则中已经设置好了的。而且我们还使用了 CDN ...

老薛主机对香港机房的线路进行全新升级

今天访问【中华马氏网】网站,出现了503错误,第一反映是网站托管的老薛主机有什么问题了,打开老薛主机官方网站,果然提示“香港机房线路升级通知(hk4服务器)”。 香港机房线路升级通知(hk4服务器) 为了提升用户网站访问速度,近期,我们对香港机房的线路进行了全新升级,实现100%直连大陆的网络连接,旨在为用户提供更快 ...

遭遇 FaceTime 电话诈骗

近日,“微信安全中心”“支付宝”官方微信公众号相继发布消息称,有骗子假冒“微信客服中心”“支付宝客服”等身份,使用苹果手机的“FaceTime”功能,向用户发起视频通话,进而诈骗。我也亲身经历了一次 FaceTime 电话诈骗。 接到 FaceTime 电话的其实是我爱人。我刚下班回到家,爱人急忙把电话递给我:“你来说!她说我什么开通 ...

为啥截个图给别人就被盗号了?

最近遇到多位 Telegram 用户,他们很郁闷也很迷惑:为啥截个图给别人就被盗号了呢? Telegram 不是号称安全级别很高的社交软件吗? 其实不是 Telegram 不安全,而是用户的不当操作引起的,正是因为别人喊你截图的界面中,含有登陆你账号的验证码,所以被轻易破防。我们来还原一下被盗号的整个过程。 第一步:拿到你的手 ...