代码拉取完成,页面将自动刷新
1315
修复 累积安全性更新
已合并
本 PR 已履行了负责任的漏洞披露程序,在公开前联系 @湖中沉 @DiscuzX 并进行了预测试,感谢上述人员为本修复方案提供的建议以及详尽的测试工作。
描述此 Pull Request 的变更
修复 累积安全性更新
描述变更理由
Discuz! X 安全公告
【2021】第 2 号
2021 年 12 月 12 日
问题简述
近日,Discuz! 安全中心发现一个高风险安全问题,本安全问题将导致部分站点存在安全隐患。通过特殊配置或设计的请求可以通过特定方式非法控制账号。
请各位各位站长、站点管理运维人员尽快推动所涉及软件的版本更新,如无法升级也请参考相关指导对软件进行修补,保障站点安全。
由于本安全问题给您造成的不便我们深感歉意,并感谢各位站长、站点管理运维人员对我们的理解与支持。
也希望更多的安全人员加入到维护 Discuz! X 程序安全的工作中来。
受影响的软件版本
Discuz! X 软件
Discuz! X3.1 至 Discuz! X3.4 Release 20211022
Discuz! X3.4 截至 2021 年 11 月 24 日的全部每日构建版本和开发版本
Discuz! X3.5 截至 2021 年 11 月 24 日的全部每日构建版本和开发版本
上述软件中只有 Discuz! X3.4 Release 20211022 处于非 EOL 状态,其他涉及的 Release 版本均已 EOL ,不再进行维护。
常见问题解答
Q: 对于未涉及到的软件或版本是否应该继续运行?
A: 未涉及到的软件或版本 ( 包括但不限于 Discuz! X / Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系,但不含 Discuz! Q ) 软件均已处于 EOL 状态,不再进行维护,且近期已发现多个涉及相关软件的中低风险安全问题并已在最新版本给予修复。同时 Discuz! X3.4 近期也提供了大量新功能改进、用户体验提升、安全性提升、 BUG 修复等,包括但不限于应对内容安全相关问题进行的内容重新审核功能以及内容安全功能兜底提升,应对 FLASH 停止维护所提供的 HTML5 附件上传、HTML5 多媒体播放功能,以及对 HTTPS 支持等功能进行优化等。并且 Discuz! X3.4 具有较好的环境兼容性,可以同时支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本,兼容绝大多数原 X3 之后发布的插件和模板。因此如您暂未有停止运营计划,建议您安排版本升级,以最大限度保障站点安全以及提高用户体验。
Q: 对于此安全漏洞建议如何处理?
A: 本安全漏洞涉及 Discuz! X3.1 至 Discuz! X3.4 Release 20211022 版本,相关站点存在被盗取用户账号的风险,需要尽快升级解决问题。在此建议您升级到 Discuz! X3.4 Release 20211124。相关软件可以从 https://gitee.com/Discuz/DiscuzX 下载。
Q: 如何进行标准升级操作?
A: 如您使用的是 Discuz! X3.1 或更高版本,请使用 Discuz! X3.4 Release 20211124 对应语言对应编码的软件覆盖您当前使用的软件。
Q: 如果无法进行版本升级该如何处理?
A: 如站点是涉及到的软件版本且无法进行版本升级,也请按照 !1315:修复 累积安全性更新 以及其他相关代码修改对站点进行修复。另外也可以参考其他安全相关 commit 对其他安全问题进行加固。
技术细节
技术细节详见:https://paper.seebug.org/1144/
安全补丁详见: !1315:修复 累积安全性更新
安全提示
我们强烈建议您使用仍在相关软件开发团队支持期内的操作系统、 Web 服务器、 PHP 、数据库、内存缓存等软件,超出支持期的软件可能会对您的站点带来未知的安全隐患。
Discuz! X 以及 UCenter 软件当前 Release 版本发布规则为当前大版本下有新的 Release 版本发布时,之前的 Release 版本将自动处于 EOL 状态,不再进行维护,请站点在新版本发布后主动更新到新的 Release 版本。
请各位站长、站点管理运维人员以及插件、模板开发者保持对 Discuz! X 官方 Git 仓库 https://gitee.com/Discuz/DiscuzX 的关注,以便在安全漏洞发生时可进行修补,让自己的站点时刻保持最安全的状态!
Discuz! X 安全中心
2021 年 12 月 12 日
对不向前兼容或涉及安全性变更的特殊说明
建议用户尽快更新。
存档地址: https://web.archive.org/web/20220129155052/https://paper.seebug.org/1144/
关联 Issue
无
