汇强网络联系电话
专业提供美国、香港等地优质服务器或VPS租用服务!
首 页 美国洛杉矶高防 美国KT机房 美国FDC机房 美国SK机房 香港服务器 台湾服务器 韩国服务器 美国VPS =》知识库《=

DEDECMS漏洞0day临时解决方案

(时间:2012-04-29 11:05)

DEDECMS再次爆出0day漏洞,汇强网络提醒广大使用美国服务器的朋友注意防范。
DEDECMS的会员系统一直都爆出各种SQL注入漏洞,若您的美国服务器无需会员系统,请在后台禁用会员系统。此次0day的临时解决方案为:
1、以网站管理员身份后台禁用会员功能。系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)
2、若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php 或者直接删除/member/目录,最暴力却最有效的方式。
3、漏洞暂时修补方案如下:
一. 确保您的magic_quotes_gpc = On。详细开启方式:打开php安装目录中的php.ini(若您使用的是appserv等集成环境,php.ini可能在系统盘符:\windows\php.ini),搜索magic_quotes_gpc,将其设置为On。

二./plus/carbuyaction.php 22行附近即

 if($cfg_mb_open == 'N') { ShowMsg("系统关闭了会员功能,因此你无法访问此页面!","javascript:;"); exit(); }
下面添加一行代码
 $rs =array();
三.在 member/ajax_membergroup.php 33行附近即
if(empty($membergroup)){ echo "您还没有设置分组!"; exit; }
下面加入如下代码:
 if(strpos($membergroup,"'")){ echo "SQL注入防护临时补丁!"; exit; }
4.原member/ajax_membergroup.php 36 行附近的
$row = $dsql->GetOne("SELECT groupname FROM dede_member_group WHERE mid = {$cfg_ml->M_ID} AND id={$membergroup}");
修改为
$row = $dsql->GetOne("SELECT groupname FROM dede_member_group WHERE mid = {$cfg_ml->M_ID} AND id='{$membergroup}'");

本文由 汇强网络 整理,标题:DEDECMS漏洞0day临时解决方案
地址:http://www.1020m.com/faq/anquan/243.html (转载请保留)

相关文章:
  • DEDECMS漏洞0day临时解决方案
  • win2003修改默认管理员Administrator用户名的方法
  • Windows远程桌面中的漏洞可能允许远程执行代码 (2671387)
  • windows 2008 R2 无法安装操作系统补丁,或无法安装Sp1升级包的
  • Serv-U(FTP服务端)安全配置要点
  • 汇强网络提供实惠美国服务器租用 汇强网络是国内知名的海外服务器专家,主要提供美国洛杉矶高防,美国KT,美国FDC,美国SK及国内访问最快的香港与韩国服务器租用服务.
    服务热线:400-666-5720 备案:粤ICP备14035948号-2 公司地址:广州天河区水荫一横路2号 邮件:Security@1020m.com. 服务条款 | 用户协议
    Copyright ©2009~2015 广州汇强网络 保留所有权利. 汇强网络特聘上海三石律师事务所庄毅雄律师为常年法律顾问 侵权必究.