|
主題: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: arnix 於 一月 13, 2006, 03:08:30 上午 剛在「自由軟體技術交流網」 (http://freesf.tnc.edu.tw/)
看到這則由 ols3 所發出的消息 http://freesf.tnc.edu.tw/modules/news/index.php?storytopic=39 摘錄如下: 引用 ADODB 漏洞, 請儘速修補!!! 請大家告訴大家!!! (ols3 先生有提供修補方法,詳情請參考原文 (http://freesf.tnc.edu.tw/modules/news/index.php?storytopic=39))發表人 ols3 貼於 2006/1/12 10:00:46 (881 人讀取) 網路安全新聞 消息來源: http://h.root.tw/modules/news/article.php?storyid=29 ADODB 漏洞, 請儘速修補. 影響: SFS3 學務系統/ X 學務系統 / Lifetype(舊稱 plog)/ PostNuke /Moodle 只要有使用 ADODB 元件的程式系統(不限 Linux 平台!!!! )... B2D Server 1231 refine4 及之前的版本. 然後我查證了一下 adodb 網站 (http://adodb.sourceforge.net/) 在他們的論壇上有一則 adodb 4.70 版釋出的消息 http://phplens.com/lens/lensforum/msgs.php?id=14362 其中提到 引用 Fixed security issues in server.php and tmssql.php discussed by Andreas Sandblad in a Secunia security advisory. Added $ACCEPTIP = 127.0.0.1 and changed suggested root password to something more secure. 目前 plog 1.0.1 及 lifetype 1.0.2 beta2 都是使用 4.62 版的 adodb for php ,看來好像會有安全的疑慮,需要注意喔。 主題: Re: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: markwu 於 一月 13, 2006, 11:09:17 上午 我剛剛看了 4.7 的版本,他還是沒有把 pesty 當初所幫他修復的 utf-8 patch 加上。所以 LifeType user 『請勿』自行 patch 到 4.7 版,因為會造成你讀出來的文章是亂碼。
請等官方網站 Update。 Mark 主題: Re: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: arnix 於 一月 13, 2006, 08:04:22 下午 我自己是用 adodb 網站的釋出的 4.70版直接將 /class/database/adodb 下的內容全部更換
而我的資料庫可能因為先前有修改過 character set 全部換成utf8 ,目前唯一發生亂碼的問題, 是在剛更換後忘了將 /tmp 目錄下內容清除所產生的,清除舊/tmp 內容就一切正常了。 所以,以我的情況是-- adodb 的 4.70 版是可以直接替換的。 至於 ols3 所提供的 patch 我則尚未測試過。 主題: Re: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: lss 於 一月 13, 2006, 10:18:33 下午 hi arnix:
你可以直接用 adodb 官方的 v4.70 版,應該是你以經把 MySQL 的預設連線校對改成 utf8-generic-ci 了。可是一般的 MySQL 預設的連線校對通常是 latin1-swedish-ci ,那就會造成在 LT 裡面出現亂碼。 對於無法自行調校 MySQL 或沒有把握的人,建議還是等 LT 官方發佈 hotfix 吧! lss 主題: Re: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: arnix 於 一月 14, 2006, 12:35:03 上午 對不起! 我錯了! 換成 adodb 4.70 雖一般頁面可以正常顯示,但在summary.php頁就會出現全篇的亂碼,
而只有新發表的文章才會正常顯示。顯然現在變成一國兩碼了 :-S 主題: Re: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: darkhero 於 一月 14, 2006, 10:24:04 上午 我剛剛抓了 470 後,照著 LT 的 adodb 的更新做了處理。
主要修改了 driver/adodb-mysql.php http://home.v-dark.net/~darkhero/share/adodb-LT-fix.tgz 你可以試試看~ 主題: Re: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: lss 於 一月 18, 2006, 01:32:30 下午 我剛剛抓了 470 後,照著 LT 的 adodb 的更新做了處理。 hi darkhero:主要修改了 driver/adodb-mysql.php http://home.v-dark.net/~darkhero/share/adodb-LT-fix.tgz 你可以試試看~ 真是謝謝你,開發團隊最近在忙著處理 LT 新版的問題,忘了先處理這個。 :-P mark 已經把他記錄在 bugs.lifetype.net ( issue 808 (http://bugs.lifetype.net/view.php?id=808) ) ,而且應該最近就會處理了。另外,也已經確定 LT 1.0.3 會使用它。 再次謝謝你。 :-) lss 主題: Re: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 作者: darkhero 於 一月 18, 2006, 05:07:48 下午 我剛剛抓了 470 後,照著 LT 的 adodb 的更新做了處理。 hi darkhero:主要修改了 driver/adodb-mysql.php http://home.v-dark.net/~darkhero/share/adodb-LT-fix.tgz 你可以試試看~ 真是謝謝你,開發團隊最近在忙著處理 LT 新版的問題,忘了先處理這個。 :-P mark 已經把他記錄在 bugs.lifetype.net ( issue 808 (http://bugs.lifetype.net/view.php?id=808) ) ,而且應該最近就會處理了。另外,也已經確定 LT 1.0.3 會使用它。 再次謝謝你。 :-) lss lss 太客氣了。 lifetype的團隊的成果大家有目共睹。各位真是辛苦了! |