ShopEx發布遠程代碼執行漏洞修複補丁

來源:互聯網
上載者:User

  ShopEx發布單店版V4.7.1 KS47103修正了一個遠程代碼執行漏洞。收到漏洞報告後(SHOPEX遠程代碼執行漏洞),ShopEx技術人員快速反應,於30分鐘內即完成了補丁的製作測試與發布工作。

  該漏洞是由於早期的PHP一個不安全的全域變數註冊機制引起的,雖然PHP在5年前就取消了該機制,但還是有某些伺服器在配置時開啟了該機制。因此這個漏洞只在一些對伺服器未進行安全配置的小型及管理不規範主機商處才會發生。

  雖然絕大多數ShopEx使用者均不存在該漏洞,但還是請ShopEx使用者即刻自行打上該補丁。

  相關說明:

  補丁下載方法:使用者可以登陸商店後台案頭左側“升級資訊”欄目看到並下載使用該補丁。

  後台沒有看到補丁?那應該是你把根目錄下面的version.txt檔案刪除了,重新上傳上去就可以了。

  補丁升級方法:將下載的補丁包解壓縮後,二進位方式上傳補丁包內檔案到伺服器上對應目錄覆蓋原檔案;
  注意一定要二進位上傳,否則會出現 Fatal error: Unable to read 10790 bytes in /home/public_html/.......等錯誤。

  補丁包內容:
  ·修正遠程代碼執行漏洞
  ·修正前台發送給朋友功能
  ·修正驗證碼在某些伺服器環境下的問題
  ·修正商店留言連結位址解析問題
  ·修正NPS網關返回問題
  ·修正ShopEx客服通檔案
  ·其他一些細節最佳化及頁面顯示修正

  補丁下載地址:
  http://update.shopex.com.cn/version/program/KS47103.zip

  經檢測,ShopEx提供的所有主機配置並無上述安全性問題。

  相關閱讀:

  如何安全配置您的主機

  最近發現的ShopEx遠程代碼執行漏洞是由於使用者服務器的PHP配置中全域變數註冊選項被錯誤開啟導致的,這說明對伺服器進行安全配置是十分重要的,實際上全域變數註冊是導致PHP程式安全缺陷的最常見的原因。

  全域註冊機制自出現以來,一直為PHP開發人員們所詬病,最終大家決定取消全域變數註冊機制並贊同代之以一種更好的輸入參數的訪問機制。因此從PHP4.1開始引入了名為超級全域變數的機制,以$_GET, $_POST, $_COOKIE, $_SERVER,以及$_ENV變數代表不同來源的輸入,同時可以在指令碼的任意位置引用它們。在PHP4.1成功地採用了超級全域變數以後,2002年4月發布的PHP4.2預設關閉了全域變數註冊機制。

  但是,雖然PHP在新安裝時預設關閉了全域變數註冊機制,但通過升級上來的PHP新版本還是在php.ini中保留了原有的設定。此外,很多小型的主機供應商或個人自行安裝的會有意地開啟全域變數註冊機制,這是因為他們所使用的古老的編寫得很糟糕的程式還是依賴於全域變數註冊機制進行輸入處理的。

  因此,請立即檢查您的主機的php.ini檔案,register_globals是否是on,請把它修改成off,提高您主機的安全性。

  如何判定一個主機的register_globals是否開著?非常簡單。

  用記事本寫一個名為info.php的檔案,內容如下:

 <?php
phpinfo();
?>

  傳到伺服器運行後,伺服器會返回配置資訊,找到register_globals一行,安全配置主機該選項應該是Off的。

  經檢測,ShopEx提供的所有主機配置並無上述安全性問題。

  相關報道:

  SHOPEX最新漏洞利用及解決方案



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。