歡迎光臨, 訪客. 請先 登入註冊一個帳號.
十一月 23, 2024, 12:37:33 下午
19595 文章 在 3865 主題 由 4579 會員
最新註冊會員: aa123aa1
LifeType 中文開發論壇  |  開發  |  核心補強  |  LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 « 上篇主題 下篇主題 »
頁: [1]
作者 主題: LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞  (閱讀 16834 次)
arnix
新手見習
*
文章: 3


檢視個人資料
« 於: 一月 13, 2006, 03:08:30 上午 »

剛在「自由軟體技術交流網」

看到這則由 ols3 所發出的消息 http://freesf.tnc.edu.tw/modules/news/index.php?storytopic=39

摘錄如下:
引用
ADODB 漏洞, 請儘速修補!!! 請大家告訴大家!!!
發表人 ols3 貼於 2006/1/12 10:00:46 (881 人讀取)
網路安全新聞

消息來源:

http://h.root.tw/modules/news/article.php?storyid=29

ADODB 漏洞, 請儘速修補.

影響: SFS3 學務系統/ X 學務系統 / Lifetype(舊稱 plog)/ PostNuke /Moodle
只要有使用 ADODB 元件的程式系統(不限 Linux 平台!!!! )... B2D Server 1231 refine4 及之前的版本.
(ols3 先生有提供修補方法,詳情請參考原文)

然後我查證了一下 adodb 網站
在他們的論壇上有一則 adodb 4.70 版釋出的消息 http://phplens.com/lens/lensforum/msgs.php?id=14362
其中提到
引用
Fixed security issues in server.php and tmssql.php discussed by Andreas Sandblad in a Secunia security advisory. Added $ACCEPTIP = 127.0.0.1 and changed suggested root password to something more secure.

目前 plog 1.0.1 及 lifetype 1.0.2 beta2 都是使用 4.62 版的  adodb for php ,看來好像會有安全的疑慮,需要注意喔。

« 最後編輯時間: 一月 13, 2006, 04:15:46 上午 由 arnix » 已記錄
markwu
系統管理員
超級會員
*****
文章: 3928


Mark Wu


檢視個人資料 個人網站
« 回覆文章 #1 於: 一月 13, 2006, 11:09:17 上午 »

我剛剛看了 4.7 的版本,他還是沒有把 pesty 當初所幫他修復的 utf-8 patch 加上。所以 LifeType user 『請勿』自行 patch 到 4.7 版,因為會造成你讀出來的文章是亂碼。

請等官方網站 Update。

Mark
已記錄

arnix
新手見習
*
文章: 3


檢視個人資料
« 回覆文章 #2 於: 一月 13, 2006, 08:04:22 下午 »

我自己是用 adodb 網站的釋出的 4.70版直接將 /class/database/adodb 下的內容全部更換
而我的資料庫可能因為先前有修改過 character set 全部換成utf8 ,目前唯一發生亂碼的問題,
是在剛更換後忘了將 /tmp 目錄下內容清除所產生的,清除舊/tmp 內容就一切正常了。

所以,以我的情況是-- adodb 的 4.70 版是可以直接替換的。
至於 ols3 所提供的 patch 我則尚未測試過。
已記錄
lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #3 於: 一月 13, 2006, 10:18:33 下午 »

hi arnix:

你可以直接用 adodb 官方的 v4.70 版,應該是你以經把 MySQL 的預設連線校對改成 utf8-generic-ci 了。可是一般的 MySQL 預設的連線校對通常是 latin1-swedish-ci ,那就會造成在 LT 裡面出現亂碼。

對於無法自行調校 MySQL 或沒有把握的人,建議還是等 LT 官方發佈 hotfix 吧!

lss
已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
arnix
新手見習
*
文章: 3


檢視個人資料
« 回覆文章 #4 於: 一月 14, 2006, 12:35:03 上午 »

對不起! 我錯了! 換成 adodb 4.70 雖一般頁面可以正常顯示,但在summary.php頁就會出現全篇的亂碼,
而只有新發表的文章才會正常顯示。顯然現在變成一國兩碼了 疑惑
已記錄
darkhero
初級會員
**
文章: 58


檢視個人資料 個人網站
« 回覆文章 #5 於: 一月 14, 2006, 10:24:04 上午 »

我剛剛抓了 470 後,照著 LT 的 adodb 的更新做了處理。
主要修改了 driver/adodb-mysql.php

http://home.v-dark.net/~darkhero/share/adodb-LT-fix.tgz

你可以試試看~
已記錄

lss
我不是被~拉~~出來的,不要叫我大大!
總版主
超級會員
*****
文章: 1511



檢視個人資料 個人網站
« 回覆文章 #6 於: 一月 18, 2006, 01:32:30 下午 »

我剛剛抓了 470 後,照著 LT 的 adodb 的更新做了處理。
主要修改了 driver/adodb-mysql.php

http://home.v-dark.net/~darkhero/share/adodb-LT-fix.tgz

你可以試試看~

hi darkhero:

真是謝謝你,開發團隊最近在忙著處理 LT 新版的問題,忘了先處理這個。  吐舌頭

mark 已經把他記錄在 bugs.lifetype.net ( issue 808 ) ,而且應該最近就會處理了。另外,也已經確定 LT 1.0.3 會使用它。

再次謝謝你。  微笑

lss
已記錄

沒找過 常見問題集或不知道 如何在 LifeType 中文開發論壇發問的人,恕不回答問題
darkhero
初級會員
**
文章: 58


檢視個人資料 個人網站
« 回覆文章 #7 於: 一月 18, 2006, 05:07:48 下午 »

我剛剛抓了 470 後,照著 LT 的 adodb 的更新做了處理。
主要修改了 driver/adodb-mysql.php

http://home.v-dark.net/~darkhero/share/adodb-LT-fix.tgz

你可以試試看~

hi darkhero:

真是謝謝你,開發團隊最近在忙著處理 LT 新版的問題,忘了先處理這個。  吐舌頭

mark 已經把他記錄在 bugs.lifetype.net ( issue 808 ) ,而且應該最近就會處理了。另外,也已經確定 LT 1.0.3 會使用它。

再次謝謝你。  微笑

lss

lss 太客氣了。

lifetype的團隊的成果大家有目共睹。各位真是辛苦了!
已記錄

頁: [1]
LifeType 中文開發論壇  |  開發  |  核心補強  |  LifeType 1.0.1 及 1.0.2 可能遭遇 ADODB 安全漏洞 « 上篇主題 下篇主題 »
    前往: