当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > ShopEx发布远程代码执行漏洞修复补丁

安全防护
防止SQL注入攻击的方法
基础教程篇:五个方面何防止网站被挂木马
JavaScript可能成为新的黑客攻击点
辨明是非 文件关联型木马的特殊化查杀
三个小命令 检查电脑是否被安装木马
CC攻击的原理和预防
新手看招:在Linux操作系统下创建锁文件
防范黑客来自网上的攻击的几种方法
Web内容安全过滤设备应注重多层次管理功能
浅谈木马的十大潜伏诡招
防范ASP木马的十大基本原则
拒绝木马入侵 四大绝招来防护
菜鸟安全手册:实战捕获局域网 ARP病毒
安全技术谈:网页挂马工作原理完全分析
用好Windows命令 识别木马蛛丝马迹
安全技巧:利用软件限制策略阻止网马侵袭
Serv-u本地权限提升漏洞的终极防御
七个维护服务器安全的技巧
服务器安全经验:防止非法登陆
服务器存储数据丢失后的正确操作方法

安全防护 中的 ShopEx发布远程代码执行漏洞修复补丁


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 82 ::
收藏到网摘: n/a

  ShopEx发布单店版V4.7.1 KS47103修正了一个远程代码执行漏洞。收到漏洞报告后(SHOPEX远程代码执行漏洞),ShopEx技术人员快速反应,于30分钟内即完成了补丁的制作测试与发布工作。

  该漏洞是由于早期的PHP一个不安全的全局变量注册机制引起的,虽然PHP在5年前就取消了该机制,但还是有某些服务器在配置时打开了该机制。因此这个漏洞只在一些对服务器未进行安全配置的小型及管理不规范主机商处才会发生。

  虽然绝大多数ShopEx用户均不存在该漏洞,但还是请ShopEx用户即刻自行打上该补丁。

  相关说明:

  补丁下载方法:用户可以登陆商店后台桌面左侧“升级信息”栏目看到并下载使用该补丁。

  后台没有看到补丁?那应该是你把根目录下面的version.txt文件删除了,重新上传上去就可以了。

  补丁升级方法:将下载的补丁包解压缩后,二进制方式上传补丁包内文件到服务器上对应目录覆盖原文件;
  注意一定要二进制上传,否则会出现 Fatal error: Unable to read 10790 bytes in /home/public_html/.......等错误。

  补丁包内容:
  ·修正远程代码执行漏洞
  ·修正前台发送给朋友功能
  ·修正验证码在某些服务器环境下的问题
  ·修正商店留言链接地址解析问题
  ·修正NPS网关返回问题
  ·修正ShopEx客服通文件
  ·其他一些细节优化及页面显示修正

  补丁下载地址:
  http://update.shopex.com.cn/version/program/KS47103.zip

  经检测,ShopEx提供的所有主机配置并无上述安全性问题。

  相关阅读:

  如何安全配置您的主机

  最近发现的ShopEx远程代码执行漏洞是由于用户服务器的PHP配置中全局变量注册选项被错误打开导致的,这说明对服务器进行安全配置是十分重要的,实际上全局变量注册是导致PHP程序安全缺陷的最常见的原因。

  全局注册机制自出现以来,一直为PHP开发者们所诟病,最终大家决定取消全局变量注册机制并赞同代之以一种更好的输入参数的访问机制。因此从PHP4.1开始引入了名为超级全局变量的机制,以$_GET, $_POST, $_COOKIE, $_SERVER,以及$_ENV变量代表不同来源的输入,同时可以在脚本的任意位置引用它们。在PHP4.1成功地采用了超级全局变量以后,2002年4月发布的PHP4.2默认关闭了全局变量注册机制。

  但是,虽然PHP在新安装时默认关闭了全局变量注册机制,但通过升级上来的PHP新版本还是在php.ini中保留了原有的设置。此外,很多小型的主机提供商或个人自行安装的会有意地打开全局变量注册机制,这是因为他们所使用的古老的编写得很糟糕的程序还是依赖于全局变量注册机制进行输入处理的。

  因此,请立即检查您的主机的php.ini文件,register_globals是否是on,请把它修改成off,提高您主机的安全性。

  如何判定一个主机的register_globals是否开着?非常简单。

  用记事本写一个名为info.php的文件,内容如下:

 <?php
phpinfo();
?>

  传到服务器运行后,服务器会返回配置信息,找到register_globals一行,安全配置主机该选项应该是Off的。

  经检测,ShopEx提供的所有主机配置并无上述安全性问题。

  相关报道:

  SHOPEX最新漏洞利用及解决方案