主題: 另一個重要安全性修補:LifeType 1.0.6 釋出 作者: james 於 七月 10, 2006, 10:27:37 下午 中文原文請參考:另一個安全更新:LifeType 1.0.6 釋出 (http://www.lifetype.org.tw/post/1/36)
英文原文請參考:Another security upgrade: Lifetype 1.0.6 released (http://www.lifetype.net/blog.php/lifetype_development_journal/2006/07/04/another_security_upgrade_lifetype_1.0.6_released) 在 1.0.5 釋出後,開發團隊發現一個另一個尚未修補的 SQL Injection 安全性問題,因此我們立即修復這個安全性問題,並釋出修正後的新版本。受影響的只有幾個檔案,因此我們希望這次的昇級不會造成大多的麻煩。請繼續閱讀來取得更多和昇級有關的資訊。 和之前相同的,你可以從 Sourceforge.net 來取得 .ZIP, .TAR.GZ 和 .TAG.BZ2 等格式的完整版本。 lifetype-1.0.6.zip (http://prdownloads.sourceforge.net/lifetype/lifetype-1.0.6.zip?download) lifetype-1.0.6.tar.gz (http://prdownloads.sourceforge.net/lifetype/lifetype-1.0.6.tar.gz?download) lifetype-1.0.6.tar.bz2 (http://prdownloads.sourceforge.net/lifetype/lifetype-1.0.6.tar.bz2?download) 請注意,如果你是從 1.0.x 版升級到這個版本,你並不需要執行 wizard.php 來作任何資料庫變更的動作。你只需要保留你的 /config 目錄理的檔案,並將其他檔案用 1.0.5 的程式覆蓋過去即可。如果你有任何自行修改的程式需要保留,請注意你在升級過程也必須一併保留這些檔案。否則可能造成升級後不正常的運作。 另外我們也提供升級的版本給 1.0.5 版,如果你是用 1.0.5 版,可以只下載下面的程式來覆蓋過原 1.0.5 的程式,並且完成升級動作。請注意,這個程式只能給 1.0.5 版使用,不能用在 1.0、1.0.1、1.0.2、1.0.3、1.0.4 等版本: lifetype-1.0.5-upgrade-lifetype-1.0.6.tar.gz (http://prdownloads.sourceforge.net/lifetype/lifetype-1.0.5-upgrade-1.0.6.tar.gz?download) lifetype-1.0.5-upgrade-lifetype-1.0.6.zip (http://prdownloads.sourceforge.net/lifetype/lifetype-1.0.5-upgrade-1.0.6.zip?download) 也請大家使用 LifeType forums (http://forums.lifetype.net/) (English)、LifeType 中文開發論壇 或是 LifeType 臭蟲回報系統 (http://bugs.lifetype.net/) 來回報任何使用上的情況。 PS: 這個 Bug 雖然我 (Mark) 在接獲一個小時內就修復了。可是,事實上他已經存在很久了。歸咎原因,還是因為忘了作傳入值的 驗證。Web Developer 在這部份可真是應該小心,別偷懶啊。因為總有人會發現的。 James 代發 |