好心人“活雷锋”发现漏洞正在紧急升级
2019年7月4日,弘帝建站系统收到好心人薯名“活雷锋”发现KE漏洞。由于是开源系统,所以第一时间想到更名文件夹,肯定是不行的。2019年7月10日,该漏洞列入修补队列。
开发团队紧急处理时,该漏洞主要是由于2018年核心组件由ECMS升级到FCMS时未对Session进行判断所致,原因找到,解决办法也很简单。
1、添加核心组件判断功程。
2、排除htm与html文件类型的上传功能,让html不再成为传播对象。
3、紧急处理服务器相关文件夹。
此开发过程大约10分钟左右。所有服务器升级约4小时左右。
该安全漏洞的安全级别较低,由于不能上传可执行文件,且不会影响除上传文件夹外的文件,故不会对建站系统造成较大的危害,并未列入即时紧急升级对象,请广大用户不必过于紧张。
同时提醒广大使用,开源软件由于目录暴露,文件暴露被发现各种漏洞,属于极正常的现象。弘帝建站系统经过7年开发,既使开源也极少被暴露重大漏洞,正反映了弘帝建站系统的安全级别相当的高。
弘帝建站系统被多个安全机制查出存在重大安全隐患,也只是隐患,其实并不是漏洞(比如短文件名漏洞,对于开源系统来说本来就是公开的,不用担心文件名被泄,文件被破,也就是隐患并不存在)。
页:
[1]