Discuz! X 高危安全漏洞,请各位站长尽快修复
尊敬的 Discuz! X 用户,您好!近日,Discuz! 安全中心发现一个高风险安全问题,**本安全问题将导致部分站点存在安全隐患**。通过特殊配置或设计的请求可以通过特定方式非法控制账号。
**在此希望更多的安全人员加入到维护 Discuz! X 程序安全的工作中来。**
漏洞详情
技术细节详见:https://paper.seebug.org/1144/
安全补丁详见: https://gitee.com/Discuz/DiscuzX/pulls/1315
风险等级
高
影响版本
Discuz! X3.1 至 Discuz! X3.4 Release 20211022
安全版本
Discuz! X3.4 Release 20211124
修复建议
1. 目前官方已修复该漏洞,建议受影响的用户尽快升级至最新版本:https://gitee.com/Discuz/DiscuzX/attach_files
2. 无法升级最新版本的用户,可以参考 https://gitee.com/Discuz/DiscuzX/pulls/1315 修改站点文件。
【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外
更详细的内容请阅读下方的 Discuz! X 安全公告 进行了解。 附件1:安全公告全文
Discuz! X 安全公告
【2021】第 2 号
2021 年 12 月 12 日
问题简述
近日,Discuz! 安全中心发现一个高风险安全问题,**本安全问题将导致部分站点存在安全隐患**。通过特殊配置或设计的请求可以通过特定方式非法控制账号。
请各位各位站长、站点管理运维人员**尽快推动所涉及软件的版本更新**,如无法升级也请参考相关指导对软件进行修补,保障站点安全。
**由于本安全问题给您造成的不便我们深感歉意,并感谢各位站长、站点管理运维人员对我们的理解与支持。**
**也希望更多的安全人员加入到维护 Discuz! X 程序安全的工作中来。**
受影响的软件版本
Discuz! X 软件
Discuz! X3.1 至 Discuz! X3.4 Release 20211022
Discuz! X3.4 截至 2021 年 11 月 24 日的全部每日构建版本和开发版本
Discuz! X3.5 截至 2021 年 11 月 24 日的全部每日构建版本和开发版本
**上述软件中只有 Discuz! X3.4 Release 20211022 处于非 EOL 状态,其他涉及的 Release 版本均已 EOL ,不再进行维护。**
常见问题解答
Q: 对于未涉及到的软件或版本是否应该继续运行?
A: 未涉及到的软件或版本(包括但不限于 Discuz! X / Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系,**但不含 Discuz! Q**)**软件均已处于 EOL 状态,不再进行维护,且近期已发现多个涉及相关软件的中低风险安全问题并已在最新版本给予修复**。同时 Discuz! X3.4 近期也提供了大量新功能改进、用户体验提升、安全性提升、 BUG 修复等,包括但不限于应对内容安全相关问题进行的内容重新审核功能以及内容安全功能兜底提升,应对 FLASH 停止维护所提供的 HTML5 附件上传、HTML5 多媒体播放功能,以及对 HTTPS 支持等功能进行优化等。并且 Discuz! X3.4 具有较好的环境兼容性,可以同时支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本,兼容绝大多数原 X3 之后发布的插件和模板。**因此如您暂未有停止运营计划,建议您安排版本升级,以最大限度保障站点安全以及提高用户体验。**
Q: 对于此安全漏洞建议如何处理?
A: 本安全漏洞涉及 Discuz! X3.1 至 Discuz! X3.4 Release 20211022 版本,**相关站点存在被盗取用户账号的风险**,需要尽快升级解决问题。在此建议您**升级到 Discuz! X3.4 Release 20211124**。相关软件可以从 https://gitee.com/Discuz/DiscuzX 下载。
Q: 如何进行标准升级操作?
A: 如您使用的是 Discuz! X3.1 或更高版本,请**使用 Discuz! X3.4 Release 20211124 对应语言对应编码的软件覆盖您当前使用的软件**。
Q: 如果无法进行版本升级该如何处理?
A: 如站点是涉及到的软件版本且无法进行版本升级,也请按照 https://gitee.com/Discuz/DiscuzX/pulls/1315 以及其他相关代码修改对站点进行修复。另外也可以参考其他安全相关 commit 对其他安全问题进行加固。
技术细节
技术细节详见:https://paper.seebug.org/1144/
安全补丁详见: https://gitee.com/Discuz/DiscuzX/pulls/1315
安全提示
我们强烈建议您使用仍在相关软件开发团队支持期内的操作系统、 Web 服务器、 PHP 、数据库、内存缓存等软件,超出支持期的软件可能会对您的站点带来未知的安全隐患。
Discuz! X 以及 UCenter 软件当前 Release 版本发布规则为当前大版本下有新的 Release 版本发布时,之前的 Release 版本将自动处于 EOL 状态,不再进行维护,请站点在新版本发布后主动更新到新的 Release 版本。
请各位站长、站点管理运维人员以及插件、模板开发者保持对 Discuz! X 官方 Git 仓库 https://gitee.com/Discuz/DiscuzX 的关注,以便在安全漏洞发生时可进行修补,让自己的站点时刻保持最安全的状态!
Discuz! X 安全中心
2021 年 12 月 12 日 感谢您对Discuz! X安全问题的关注。针对您提到的高危安全漏洞,以下是详细的修复建议和步骤:
### 1. **升级到最新版本**
- **推荐方案**:升级到Discuz! X3.4 Release 20211124版本。这是官方修复了该漏洞的安全版本。
- **升级步骤**:
1. 下载最新版本的Discuz! X程序:[下载地址](https://gitee.com/Discuz/DiscuzX/attach_files)。
2. 备份当前站点的数据库和文件,确保数据安全。
3. 将新版本的程序文件上传到服务器,覆盖旧版本的文件。
4. 访问`/install/update.php`进行数据库升级。
5. 完成升级后,清除缓存并测试站点功能是否正常。
### 2. **手动修复(适用于无法升级的情况)**
- 如果您暂时无法升级到最新版本,可以参考以下手动修复方案:
1. 访问漏洞修复补丁页面:[补丁详情](https://gitee.com/Discuz/DiscuzX/pulls/1315)。
2. 根据补丁内容,手动修改相关文件。
3. 修改完成后,清除缓存并测试站点功能是否正常。
### 3. **注意事项**
- **备份数据**:在进行任何操作之前,请务必备份数据库和站点文件,以防意外情况发生。
- **测试环境**:建议先在测试环境中进行升级或修复操作,确保无误后再应用到正式站点。
- **安全评估**:修复完成后,建议对站点进行全面安全评估,确保没有其他潜在风险。
### 4. **加入安全维护**
- 如果您是开发者或安全爱好者,欢迎加入Discuz! X的安全维护工作,共同提升程序的安全性。您可以通过提交Pull Request或报告安全问题的方式参与。
### 5. **更多资源**
- 如需了解更多关于Discuz! X的安全公告和技术细节,请访问:(https://paper.seebug.org/1144/)。
如果您在修复过程中遇到任何问题,欢迎随时联系DZ插件网(https://www.dz-x.net/)的技术支持团队,我们将竭诚为您提供帮助。
祝您的站点安全稳定运行!
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
页:
[1]