歡迎光臨, 訪客. 請先 登入註冊一個帳號.
三月 29, 2024, 02:55:02 上午
19595 文章 在 3865 主題 由 4580 會員
最新註冊會員: aa123aa1
LifeType 中文開發論壇  |  站務  |  站務公告  |  LifeType 1.2.X 安全性修正 « 上篇主題 下篇主題 »
頁: [1]
作者 主題: LifeType 1.2.X 安全性修正  (閱讀 42737 次)
bibicall
LifeType 中文發展團隊
超級會員
*****
文章: 640


我是豬老大


檢視個人資料 個人網站
« 於: 三月 30, 2008, 03:50:31 上午 »

LifeType 開發團隊於英文論壇發佈緊急通知:Security issue, please make the following change

LifeType 1.2.X 在上傳設定的部分發現安全性的漏洞,如果你有開啟檔案上傳功能,將會受到影響
問題來自於forbidden_upload變數判斷副檔名大小寫的問題。

在新的更新檔(LifeType  1.2.7)釋出之前,為了安全起見,你可以這麼做:

1. 關閉檔案上傳功能,即在管理介面中,將uploads_enabled設定為停用。
2. 不關閉檔案上傳功能的情形下,在upload_allowed_files允許上傳的檔案類型欄位中設定允許的檔案類型,此欄為會優先處理。
3. 不關閉檔案上傳功能的情形下,在upload_forbidden_files禁止上傳的檔案類型欄為中,將副檔名所有的大小寫格式通通寫上去,以*.php檔為例:
引用
*.php *.Php *.pHp *.phP *.pHP. *.PHp *.PhP *.PHP

如果你等不及,可以下載附加檔案的zip檔 (載點在此)
將其中的三個php文件分別放入
/class/data/validator/uploadvalidator.class.php
/class/misc/glob.class.php
/class/misc/integritychecker.class.php

中國大陸地區的朋友如果載點被GFW,造成無法下載,請點選以下三個連結另存新檔也可
http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/data/validator/uploadvalidator.class.php
http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/misc/glob.class.php
http://devel.lifetype.net/svn/plog/plog/branches/lifetype-1.2/class/misc/integritychecker.class.php
已記錄

我的虛擬主機基本資料如下
Operating system: Linux
Apache version: 1.3.37
PHP version: 4.4.4
MySQL version: 4.1.21-standard
hlps9999
LifeType 中文發展團隊
資深會員
*****
文章: 288



檢視個人資料 個人網站
« 回覆文章 #1 於: 三月 31, 2008, 08:55:06 上午 »

LifeType 1.2.7 已釋出囉!請看「LifeType 1.2.7 released
已記錄
musa
新手見習
*
文章: 17


檢視個人資料 個人網站
« 回覆文章 #2 於: 三月 31, 2008, 11:02:07 上午 »

LifeType 1.2.7 已釋出囉!請看「LifeType 1.2.7 released


我的是1.2.5我要先升級到1.2.6再到1.2.7嗎?還是可以直接升到1.2.7???
已記錄

lifetype:1.2.7
主機:智邦
ajer001
LifeType 中文發展團隊
超級會員
*****
文章: 516


張阿駕


檢視個人資料 個人網站
« 回覆文章 #3 於: 三月 31, 2008, 11:42:59 上午 »

如果要用升級版的話,要先升級到1.2.6才能。

如果你想直接跳上來,就要用1.2.7完整版去覆蓋!
已記錄

|| FreeBSD + Apache 2.x + PHP 5.x + MySQL 5.x ||
-- ajer001 AT twntwn.info --
musa
新手見習
*
文章: 17


檢視個人資料 個人網站
« 回覆文章 #4 於: 三月 31, 2008, 12:41:09 下午 »

如果要用升級版的話,要先升級到1.2.6才能。

如果你想直接跳上來,就要用1.2.7完整版去覆蓋!

所以我想要從1.2.5=>1.2.6就去下載「Lifetype upgrade package from 1.2.5 (.zip)」然後把裡面的資料整個覆蓋到我的主機上可以了嗎??

然後再去下載「Lifetype upgrade package from 1.2.6 (.zip)」,然後又再把整個資料蓋過去就可以升級到1.2.7了是嗎??
已記錄

lifetype:1.2.7
主機:智邦
lizzie
新手見習
*
文章: 24


檢視個人資料
« 回覆文章 #5 於: 四月 16, 2008, 07:44:34 上午 »

我目前是1.2.4 (Windows 2003 + IIS)
我先升級到1.2.5及1.2.6, 看起來好像OK
但升級到1.2.7後發現管理者無法登入, 我試了另一個使用者帳號卻可以登入
請教各位先進問題在哪裡?
已記錄
hlps9999
LifeType 中文發展團隊
資深會員
*****
文章: 288



檢視個人資料 個人網站
« 回覆文章 #6 於: 四月 16, 2008, 12:16:47 下午 »

你的管理者帳號是以下其中一個嗎?「admin www blog ftp wiki forums」,我升級到1.2.7也發生過同樣的情形。

上面那些帳號是在「彙整頁面設定」/「forbidden_usernames」裡的帳號名稱。升到1.2.7後,好像會去檢查這裡,若有這些帳號就無法登入。

若還沒升級,可以先修改那「forbidden_usernames」,若已經升級了,可以進資料庫去修改 「lt_config」這資料表裡的「forbidden_usernames」這欄位裡的資料
已記錄
lizzie
新手見習
*
文章: 24


檢視個人資料
« 回覆文章 #7 於: 四月 17, 2008, 07:22:27 上午 »

謝謝高手指點! 問題真的解決了!
已記錄
lizzie
新手見習
*
文章: 24


檢視個人資料
« 回覆文章 #8 於: 四月 17, 2008, 12:48:04 下午 »

登入問題解決了, 卻又發現另一問題:
插入flv檔無法顯示(原本在 1.2.4我參考您部落格上的方式可正常顯示player)
但在1.2.7 按 insert/edit image 鈕修改size後, html 碼就變掉了(Object ...那段都不見了)
唯一能正常顯示player是直接修改html碼的寬高,
若我直接在編輯區修改flv的小點(拖曳 resize), 外觀看起來好像沒問題, 但html的size仍為1x1,
總之,就是編輯區的動作和html配不起來
為什麼會這樣
« 最後編輯時間: 四月 18, 2008, 10:26:27 上午 由 lizzie » 已記錄
屎小鬼
新手見習
*
文章: 7


檢視個人資料
« 回覆文章 #9 於: 四月 18, 2008, 01:23:17 上午 »

我的1.2.7的問題跟樓上的類似
就是上傳flv檔案以後
在前站的資料夾網頁裡要下載或播放flv檔案的話會出現找不到檔案的畫面..
直接播放的話是什麼東西也沒有出來..
已記錄
hlps9999
LifeType 中文發展團隊
資深會員
*****
文章: 288



檢視個人資料 個人網站
« 回覆文章 #10 於: 四月 18, 2008, 10:53:40 上午 »

登入問題解決了, 卻又發現另一問題:
插入flv檔無法顯示(原本在 1.2.4我參考您部落格上的方式可正常顯示player)
但在1.2.7 按 insert/edit image 鈕修改size後, html 碼就變掉了(Object ...那段都不見了)
唯一能正常顯示player是直接修改html碼的寬高,
若我直接在編輯區修改flv的小點(拖曳 resize), 外觀看起來好像沒問題, 但html的size仍為1x1,
總之,就是編輯區的動作和html配不起來
為什麼會這樣

我是不知道為何會這樣,不過建議你,試試看換一套軟體來轉flv檔,例如「好用的影音轉檔軟體--SUPER ©

我用super轉出來的flv影片檔,放在LifeType上就不需再調整,直接插入就可以觀看。
我從YouTube下載回來的flv檔,也是可以直接插入在LifeType上。
已記錄
Yukie
新手見習
*
文章: 14


檢視個人資料 個人網站
« 回覆文章 #11 於: 五月 01, 2008, 12:38:36 上午 »

你的管理者帳號是以下其中一個嗎?「admin www blog ftp wiki forums」,我升級到1.2.7也發生過同樣的情形。

從一開始設立站台時,就沒有這些帳號,可是還是一樣無法登入。

進資料庫將這些帳號限制都改掉,還是無法登入。
祇好再改回來用 1.2.6 版。:'(
已記錄
頁: [1]
LifeType 中文開發論壇  |  站務  |  站務公告  |  LifeType 1.2.X 安全性修正 « 上篇主題 下篇主題 »
    前往: