|
主題: LifeType 1.2.X 安全性修正 作者: bibicall 於 三月 30, 2008, 03:50:31 上午 LifeType 開發團隊於英文論壇發佈緊急通知:Security issue, please make the following change (http://forums.lifetype.net/viewtopic.php?f=10&t=8948)
LifeType 1.2.X 在上傳設定的部分發現安全性的漏洞,如果你有開啟檔案上傳功能,將會受到影響 問題來自於forbidden_upload變數判斷副檔名大小寫的問題。 在新的更新檔(LifeType 1.2.7)釋出之前,為了安全起見,你可以這麼做: 1. 關閉檔案上傳功能,即在管理介面中,將uploads_enabled設定為停用。 2. 不關閉檔案上傳功能的情形下,在upload_allowed_files允許上傳的檔案類型欄位中設定允許的檔案類型,此欄為會優先處理。 3. 不關閉檔案上傳功能的情形下,在upload_forbidden_files禁止上傳的檔案類型欄為中,將副檔名所有的大小寫格式通通寫上去,以*.php檔為例: 引用 *.php *.Php *.pHp *.phP *.pHP. *.PHp *.PhP *.PHP 如果你等不及,可以下載附加檔案的zip檔 (載點在此 (http://www.mediafire.com/?ezhdmgwze9j)) 將其中的三個php文件分別放入 /class/data/validator/uploadvalidator.class.php /class/misc/glob.class.php /class/misc/integritychecker.class.php 中國大陸地區的朋友如果載點被GFW,造成無法下載,請點選以下三個連結另存新檔也可 http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/data/validator/uploadvalidator.class.php http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/misc/glob.class.php http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/misc/integritychecker.class.php 主題: Re: LifeType 1.2.X 安全性修正 作者: hlps9999 於 三月 31, 2008, 08:55:06 上午 LifeType 1.2.7 已釋出囉!請看「LifeType 1.2.7 released (http://lifetype.net/post/2008/03/30/lifetype-1.2.7)」
主題: Re: LifeType 1.2.X 安全性修正 作者: musa 於 三月 31, 2008, 11:02:07 上午 LifeType 1.2.7 已釋出囉!請看「LifeType 1.2.7 released (http://lifetype.net/post/2008/03/30/lifetype-1.2.7)」 我的是1.2.5我要先升級到1.2.6再到1.2.7嗎?還是可以直接升到1.2.7??? 主題: Re: LifeType 1.2.X 安全性修正 作者: ajer001 於 三月 31, 2008, 11:42:59 上午 如果要用升級版的話,要先升級到1.2.6才能。
如果你想直接跳上來,就要用1.2.7完整版去覆蓋! 主題: Re: LifeType 1.2.X 安全性修正 作者: musa 於 三月 31, 2008, 12:41:09 下午 如果要用升級版的話,要先升級到1.2.6才能。 如果你想直接跳上來,就要用1.2.7完整版去覆蓋! 所以我想要從1.2.5=>1.2.6就去下載「Lifetype upgrade package from 1.2.5 (.zip) (http://sourceforge.net/project/downloading.php?groupname=lifetype&filename=lifetype-1.2.5-upgrade-1.2.6.zip&use_mirror=jaist)」然後把裡面的資料整個覆蓋到我的主機上可以了嗎?? 然後再去下載「Lifetype upgrade package from 1.2.6 (.zip) (http://sourceforge.net/project/downloading.php?groupname=lifetype&filename=lifetype-1.2.6-upgrade-1.2.7.zip&use_mirror=osdn)」,然後又再把整個資料蓋過去就可以升級到1.2.7了是嗎?? 主題: Re: LifeType 1.2.X 安全性修正 作者: lizzie 於 四月 16, 2008, 07:44:34 上午 我目前是1.2.4 (Windows 2003 + IIS)
我先升級到1.2.5及1.2.6, 看起來好像OK 但升級到1.2.7後發現管理者無法登入, 我試了另一個使用者帳號卻可以登入 請教各位先進問題在哪裡? 主題: Re: LifeType 1.2.X 安全性修正 作者: hlps9999 於 四月 16, 2008, 12:16:47 下午 你的管理者帳號是以下其中一個嗎?「admin www blog ftp wiki forums」,我升級到1.2.7也發生過同樣的情形。
上面那些帳號是在「彙整頁面設定」/「forbidden_usernames」裡的帳號名稱。升到1.2.7後,好像會去檢查這裡,若有這些帳號就無法登入。 若還沒升級,可以先修改那「forbidden_usernames」,若已經升級了,可以進資料庫去修改 「lt_config」這資料表裡的「forbidden_usernames」這欄位裡的資料 主題: Re: LifeType 1.2.X 安全性修正 作者: lizzie 於 四月 17, 2008, 07:22:27 上午 謝謝高手指點! 問題真的解決了!
主題: Re: LifeType 1.2.X 安全性修正 作者: lizzie 於 四月 17, 2008, 12:48:04 下午 登入問題解決了, 卻又發現另一問題:
插入flv檔無法顯示(原本在 1.2.4我參考您部落格上的方式可正常顯示player) 但在1.2.7 按 insert/edit image 鈕修改size後, html 碼就變掉了(Object ...那段都不見了) 唯一能正常顯示player是直接修改html碼的寬高, 若我直接在編輯區修改flv的小點(拖曳 resize), 外觀看起來好像沒問題, 但html的size仍為1x1, 總之,就是編輯區的動作和html配不起來 為什麼會這樣 主題: Re: LifeType 1.2.X 安全性修正 作者: 屎小鬼 於 四月 18, 2008, 01:23:17 上午 我的1.2.7的問題跟樓上的類似
就是上傳flv檔案以後 在前站的資料夾網頁裡要下載或播放flv檔案的話會出現找不到檔案的畫面.. 直接播放的話是什麼東西也沒有出來.. 主題: Re: LifeType 1.2.X 安全性修正 作者: hlps9999 於 四月 18, 2008, 10:53:40 上午 登入問題解決了, 卻又發現另一問題: 插入flv檔無法顯示(原本在 1.2.4我參考您部落格上的方式可正常顯示player) 但在1.2.7 按 insert/edit image 鈕修改size後, html 碼就變掉了(Object ...那段都不見了) 唯一能正常顯示player是直接修改html碼的寬高, 若我直接在編輯區修改flv的小點(拖曳 resize), 外觀看起來好像沒問題, 但html的size仍為1x1, 總之,就是編輯區的動作和html配不起來 為什麼會這樣 我是不知道為何會這樣,不過建議你,試試看換一套軟體來轉flv檔,例如「好用的影音轉檔軟體--SUPER © (http://plog.hlps.tcc.edu.tw/plog/post/1/3141)」 我用super轉出來的flv影片檔,放在LifeType上就不需再調整,直接插入就可以觀看。 我從YouTube下載回來的flv檔,也是可以直接插入在LifeType上。 主題: Re: LifeType 1.2.X 安全性修正 作者: Yukie 於 五月 01, 2008, 12:38:36 上午 你的管理者帳號是以下其中一個嗎?「admin www blog ftp wiki forums」,我升級到1.2.7也發生過同樣的情形。 從一開始設立站台時,就沒有這些帳號,可是還是一樣無法登入。 進資料庫將這些帳號限制都改掉,還是無法登入。 祇好再改回來用 1.2.6 版。:'( |