动易2006 SP6安全更新(2007-11-20)
- 来源:动易网络 作者:动易CMS 发布时间:2007-11-20阅读次数:
漏洞编号:PEAS20071120
危害程度:极严重
影响版本:动易4.03、2005、2006 所有版本(包括免费版、商业SQL版及Access版),正式版、SP1、SP2、SP3、SP4、SP5、SP6都受此影响。2007-11-20 13:00以后从官方下载的系统不存在此漏洞。
漏洞描述:因为动易系统的API/ApiResonse.asp及用户后台有几个文件存在着注入漏洞。黑客可以通过伪造的数据进行注入攻击,然后可得到WebShell权限。
解决方法:(以下两步必须都要做)
第一步、下载官方组件进行更新。假如是虚拟主机用户,请联系主机商进行更新。一台服务器只要更新了最新组件,主机上的所有用户都会受到保护。为了您的网站安全,最好在更新了组件后,重新将所有治理员的密码、治理认证码都改一下。假如主机商暂时不能更新组件,可以先删除网站的User目录来防止黑客利用此漏洞。
第二步、下载此补丁文件,解压后上传覆盖掉原始文件。
组件下载:http://www.powereasy.net/Soft/PE_soft/3139.html
补丁文件:http://download.powereasy.net/PowerEasy2006/PowerEasy_2006SP6_S20071120.rar
如何检查是否已经安装了最新组件?
包含此漏洞补丁的最新组件版本为1.8.6或以上。假如低于此版本,则意味着有此漏洞。
PS:
这将是动易2006版的最后一个安全更新,以后动易2006版就将以开源形式进行运营。这个安全更新是在2007-10-30发布的安全更新基础上,我们与国内的安全组织BCT一起,对2006版进行初步代码审计发现的结果。未来动易将投入巨资请相关安全组织对动易的开源版本的代码进行安全审计,以确保开源版本中尽可能减少存在的漏洞,确保用户的网站安全不受开源的影响。
相关文章
- 确保安全 动易斥资30万元邀请安全组织审计源代码
- 动易2006 SP6安全更新(2007-10-30)
- 塑造品牌 ASP 和 ASP.NET 产品线名称正式公布
- 动易2006 SP6安全更新(2007-8-28)
- 动易2006 SP6 正式版倾情发布(6月12日更新)
- 动易2006最新安全更新(3月15日)
- 万元赏金 寻找动易 SiteWeaver CMS/eShop 产品安全漏
- 动易2006 SP5 正式版隆重发布
- 动易SiteFactory新模板与最新增量更新包 现火热提供下
- 持之以恒 追求完美 动易2006 SP5 公开测试版发布
- 动易 SiteWeaver 6.5 0410版更新发布!
- 第一期动易用户网站安全应急响应活动现已开始!
- [注意]动易2006安全更新(12月21日)
- 动易2006 SP4版最新漏洞公告
- 动易 2006 Sp4 正式发布 网站运用进入移动商务时代
- 动易2006 SP3 0816更新补丁已正式发布
- 动易系统2006 SP3正式发布!(8-2 更新)
- 动易系统2006(SP2)普及版正式发布!
- 动易2006 SP1小组件版本提供下载测试
- 动易系统2006(SP1)正式版发布!