加速乐发布DedeCMS临时安全补丁 提倡负责任的漏洞披露

　　近日，知道创宇安全研究人员发现互联网某“安全“公司网站于2013年4月19日发布“DEDECMS高危漏洞”(包括2个SQL注入漏洞)，并发布相关漏洞分析细节，经我们分析发现这2个漏洞确实存在，其中一个漏洞dedecms官方于2013年4月22日发布最新补丁更新里得到了修补，而另外一个目前官方还没有推出任何补丁修补措施，属于0day漏洞，攻击者可通过该漏洞攻击使用dedecms的网站，最终可以导致网站“脱库”、“挂马”、“篡改”等风险。但由于该漏洞触发条件限制较多，我们评定为“中危”漏洞。我们已积极联系dedecms官方，请各位使用dedecms的站长们，及时更新到官方4月22日发布最新版本(V5.7正式版2013-04-22)同时启用临时补丁(详见下)，并密切关注官方补丁更新动态。经测试确认加速乐无需任何更新即可防御该漏洞!

　　关于dedecms(织梦CMS)

　　DedeCMS基于PHP+MySQL的技术开发，支持多种服务器平台，从2004年开始发布第一个版本开始，至今已经发布了五个大版本。DedeCMS以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场，目前已经有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发，产品安装量达到95万。是目前国内最常见的建站程序之一，也是“黑客”密切关注的对象!

　　官方网站：www.dedecms.com

　　漏洞触发演示(如下图)

　　

 

　　漏洞触发条件

　　1、要求php的魔术引号开关关闭(magic_quotes_gpc = Off)。

　　2、要求“会员中心”开启，并有可正常登陆使用的用户。

　　临时补丁

　　1、修改代码

　　文件memberajax_membergroup.php 找到代码： $sql = "UPDATE `dede_member_friends` SET `description`='{$mdescription}' WHERE `fid`='{$mid}' AND `mid`='{$cfg_ml->M_ID}'"; 在这代码之前加入如下代码: $mdescription=addslashes($mdescription);

　　2、在php.ini文件里设置 magic_quotes_gpc = On

　　3、临时关闭“会员中心”。(登陆后台后，操作过程如下图)

　　

 

　　[编者注：我们对某“安全”公司不负责的随意进行漏洞披露、完全不顾及互联网广大网站及网民安全的行为，深表担忧!同时我们呼吁各安全企业同行及安全研究人员都加入到“负责任的漏洞披露流程”，为了“更好、更安全的互联网”一起努力!]

　　关于加速乐及知道创宇

　　“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

　　“知道创宇”(www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业，始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京，在香港、上海、广州、成都设有分公司，客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力，帮助用户应对变化多端的互联网安全威胁，赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。