LifeType 中文開發論壇

站務 => 站務公告 => 主題作者是: bibicall 於 三月 30, 2008, 03:50:31 上午



主題: LifeType 1.2.X 安全性修正
作者: bibicall三月 30, 2008, 03:50:31 上午
LifeType 開發團隊於英文論壇發佈緊急通知:Security issue, please make the following change (http://forums.lifetype.net/viewtopic.php?f=10&t=8948)

LifeType 1.2.X 在上傳設定的部分發現安全性的漏洞,如果你有開啟檔案上傳功能,將會受到影響
問題來自於forbidden_upload變數判斷副檔名大小寫的問題。

在新的更新檔(LifeType  1.2.7)釋出之前,為了安全起見,你可以這麼做:

1. 關閉檔案上傳功能,即在管理介面中,將uploads_enabled設定為停用。
2. 不關閉檔案上傳功能的情形下,在upload_allowed_files允許上傳的檔案類型欄位中設定允許的檔案類型,此欄為會優先處理。
3. 不關閉檔案上傳功能的情形下,在upload_forbidden_files禁止上傳的檔案類型欄為中,將副檔名所有的大小寫格式通通寫上去,以*.php檔為例:
引用
*.php *.Php *.pHp *.phP *.pHP. *.PHp *.PhP *.PHP

如果你等不及,可以下載附加檔案的zip檔 (載點在此 (http://www.mediafire.com/?ezhdmgwze9j))
將其中的三個php文件分別放入
/class/data/validator/uploadvalidator.class.php
/class/misc/glob.class.php
/class/misc/integritychecker.class.php

中國大陸地區的朋友如果載點被GFW,造成無法下載,請點選以下三個連結另存新檔也可
http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/data/validator/uploadvalidator.class.php
http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/misc/glob.class.php
http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/misc/integritychecker.class.php


主題: Re: LifeType 1.2.X 安全性修正
作者: hlps9999三月 31, 2008, 08:55:06 上午
LifeType 1.2.7 已釋出囉!請看「LifeType 1.2.7 released (http://lifetype.net/post/2008/03/30/lifetype-1.2.7)」


主題: Re: LifeType 1.2.X 安全性修正
作者: musa三月 31, 2008, 11:02:07 上午
LifeType 1.2.7 已釋出囉!請看「LifeType 1.2.7 released (http://lifetype.net/post/2008/03/30/lifetype-1.2.7)」


我的是1.2.5我要先升級到1.2.6再到1.2.7嗎?還是可以直接升到1.2.7???


主題: Re: LifeType 1.2.X 安全性修正
作者: ajer001三月 31, 2008, 11:42:59 上午
如果要用升級版的話,要先升級到1.2.6才能。

如果你想直接跳上來,就要用1.2.7完整版去覆蓋!


主題: Re: LifeType 1.2.X 安全性修正
作者: musa三月 31, 2008, 12:41:09 下午
如果要用升級版的話,要先升級到1.2.6才能。

如果你想直接跳上來,就要用1.2.7完整版去覆蓋!

所以我想要從1.2.5=>1.2.6就去下載「Lifetype upgrade package from 1.2.5 (.zip) (http://sourceforge.net/project/downloading.php?groupname=lifetype&filename=lifetype-1.2.5-upgrade-1.2.6.zip&use_mirror=jaist)」然後把裡面的資料整個覆蓋到我的主機上可以了嗎??

然後再去下載「Lifetype upgrade package from 1.2.6 (.zip) (http://sourceforge.net/project/downloading.php?groupname=lifetype&filename=lifetype-1.2.6-upgrade-1.2.7.zip&use_mirror=osdn)」,然後又再把整個資料蓋過去就可以升級到1.2.7了是嗎??


主題: Re: LifeType 1.2.X 安全性修正
作者: lizzie四月 16, 2008, 07:44:34 上午
我目前是1.2.4 (Windows 2003 + IIS)
我先升級到1.2.5及1.2.6, 看起來好像OK
但升級到1.2.7後發現管理者無法登入, 我試了另一個使用者帳號卻可以登入
請教各位先進問題在哪裡?


主題: Re: LifeType 1.2.X 安全性修正
作者: hlps9999四月 16, 2008, 12:16:47 下午
你的管理者帳號是以下其中一個嗎?「admin www blog ftp wiki forums」,我升級到1.2.7也發生過同樣的情形。

上面那些帳號是在「彙整頁面設定」/「forbidden_usernames」裡的帳號名稱。升到1.2.7後,好像會去檢查這裡,若有這些帳號就無法登入。

若還沒升級,可以先修改那「forbidden_usernames」,若已經升級了,可以進資料庫去修改 「lt_config」這資料表裡的「forbidden_usernames」這欄位裡的資料


主題: Re: LifeType 1.2.X 安全性修正
作者: lizzie四月 17, 2008, 07:22:27 上午
謝謝高手指點! 問題真的解決了!


主題: Re: LifeType 1.2.X 安全性修正
作者: lizzie四月 17, 2008, 12:48:04 下午
登入問題解決了, 卻又發現另一問題:
插入flv檔無法顯示(原本在 1.2.4我參考您部落格上的方式可正常顯示player)
但在1.2.7 按 insert/edit image 鈕修改size後, html 碼就變掉了(Object ...那段都不見了)
唯一能正常顯示player是直接修改html碼的寬高,
若我直接在編輯區修改flv的小點(拖曳 resize), 外觀看起來好像沒問題, 但html的size仍為1x1,
總之,就是編輯區的動作和html配不起來
為什麼會這樣


主題: Re: LifeType 1.2.X 安全性修正
作者: 屎小鬼四月 18, 2008, 01:23:17 上午
我的1.2.7的問題跟樓上的類似
就是上傳flv檔案以後
在前站的資料夾網頁裡要下載或播放flv檔案的話會出現找不到檔案的畫面..
直接播放的話是什麼東西也沒有出來..


主題: Re: LifeType 1.2.X 安全性修正
作者: hlps9999四月 18, 2008, 10:53:40 上午
登入問題解決了, 卻又發現另一問題:
插入flv檔無法顯示(原本在 1.2.4我參考您部落格上的方式可正常顯示player)
但在1.2.7 按 insert/edit image 鈕修改size後, html 碼就變掉了(Object ...那段都不見了)
唯一能正常顯示player是直接修改html碼的寬高,
若我直接在編輯區修改flv的小點(拖曳 resize), 外觀看起來好像沒問題, 但html的size仍為1x1,
總之,就是編輯區的動作和html配不起來
為什麼會這樣

我是不知道為何會這樣,不過建議你,試試看換一套軟體來轉flv檔,例如「好用的影音轉檔軟體--SUPER © (http://plog.hlps.tcc.edu.tw/plog/post/1/3141)」

我用super轉出來的flv影片檔,放在LifeType上就不需再調整,直接插入就可以觀看。
我從YouTube下載回來的flv檔,也是可以直接插入在LifeType上。


主題: Re: LifeType 1.2.X 安全性修正
作者: Yukie五月 01, 2008, 12:38:36 上午
你的管理者帳號是以下其中一個嗎?「admin www blog ftp wiki forums」,我升級到1.2.7也發生過同樣的情形。

從一開始設立站台時,就沒有這些帳號,可是還是一樣無法登入。

進資料庫將這些帳號限制都改掉,還是無法登入。
祇好再改回來用 1.2.6 版。:'(