目录X

动易2006SP6安全更新（2007-8-28）

漏洞编号：PEAS20070827

危害程度：轻

影响版本：动易4.03、2005、2006 所有版本（包括免费版、商业SQL版及Access版），正式版、SP1、SP2、SP3、SP4、SP5、SP6都受此影响。

漏洞描述：因为动易系统的用户发表文章、软件、图片、留言、短消息等功能支持HTML，虽然动易在保存相关内容时对跨站脚本攻击进行了过滤，但过滤函数存在着一个漏洞，致使攻击者可以通过在内容中输入特殊设计的攻击脚本，提交后，管理员在查看这些内容时，跨站攻击脚本就会运行，将管理员用户名、密码加密值、管理认证码发送到攻击者指定的页面。如果你的网站没有启用这些功能，则是安全的。

跨站按键精灵按键小精灵到进攻早已是近年来除了有注射到xss系统漏洞到进攻外在于惯用的到进攻方法，其到进攻方法极其机灵变化，从而对跨站按键精灵按键小精灵到进攻的预防则相对有难度，能够说近年来几乎所有认可HTML的机系统都或多或者来源于这因素的xss系统漏洞。动易CMS2007在这因素第一次做过多的操作，对跨站按键精灵按键小精灵开展了严紧的活性炭过滤，能够有效地的预防跨站按键精灵按键小精灵到进攻。让我们在发展此xss漏洞后，将动易2006版的对应净化变量如何写半个遍，将动易CMS2007中的对应贝叶斯部份植入了下来（正因为ASP.NET和ASP的与众不同，在ASP.NET中的还有一些模块时未在ASP中建立，全部只不过是部份植入了下来）。

解决方法：下载官方组件进行更新。如果是虚拟主机用户，请联系主机商进行更新。一台服务器只要更新了最新组件，主机上的所有用户都会受到保护。为了您的网站安全，最好在更新了组件后，重新将所有管理员的密码、管理认证码都改一下。

补丁文件：//youwuye.com/Soft/PE_soft/236.html

如何检查是否已经安装了最新组件？

含盖此缺陷贴片贴片的近期最新引擎手机手机版本为1.8.3或综上所述。若如果低于此手机手机版本，则暗示着有此缺陷贴片。

PS：本次漏洞更新中附带着修复了一些SP6存在的小BUG。因为都是一些很少见的小BUG，就不一一列举了。

2007-8-28对组件进行了更新（版本号为1.8.4），修复了1.8.3版本的组件中的一个问题：

安装1.8.3版本的组件后，会造成文章内容中的Flash、视频文件无法播放。因为），而目前我们没有好的办法区分正常的视频代码还是恶意攻击代码，所以在1.8.3的过滤函数中过滤掉了这些代码。

最新的1.8.4版本的组件修改了处理方式，由1.8.3的保存和显示时都过滤，改为只在会员后台保存时过滤，前台显示及管理员录入时不再过滤。管理员查看时会判断是否是管理员录入的，如果是，则不过滤，如果是会员录入的，则过滤。这样的设计可以解决大部分可用性问题，但会存在着一些小小的安全隐患。没有办法，只能在可用性和安全之间进行取舍和平衡了。

【打印正文】公布的日期：2007-08-28 18:00:13 笔者：webboy 主要来源：以下内容原汁原味

星空电竞官网

星空电竞官网:

星空电竞官网

产品服务

案例中心

资讯

代理

人才招聘

关于动易

动易2006SP6安全更新（2007-8-28）

用户登录

搜索过于频繁，请输入验证码

动易2006SP6安全更新（2007-8-28）

用户登录

还没有账号？