设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 创业者 数据 手机
当前位置: 首页 > 站长学院 > Asp教程 > 正文

动易网络发布的漏洞补丁公告

发布时间:2020-12-25 08:41 所属栏目:120 来源:网络整理
导读:
导读:本站在此之前也被人用利用此漏洞上传过木马文件,请使用动力的用户尽快更新。 -------------------------------------------------------------------------- 发现严重安全漏洞、补丁及解决方法 漏洞现象:黑客可以利用漏洞上传木马程序到网站,然后利用木马

本站在此之前也被人用利用此漏洞上传过木马文件,请使用动力的用户尽快更新。

--------------------------------------------------------------------------

发现严重安全漏洞、补丁及解决方法

漏洞现象:黑客可以利用漏洞上传木马程序到网站,然后利用木马进一步取得网站控制权。

安全等级:严重

受影响的版本:动力/动易所有版本

漏洞分析:
????因上传文件在设计上存在着一处考虑不周的情况,使用黑客可以通过自己构造上传文件表单进行提交上传数据,然后上传扩展名为.cer的文件(此文件也是通过asp.dll)来解析。


解决方法:
1、检查网站目录中是否存在扩展名为.cer、.cdx的文件,若有,立即删除。

2、在网站属性中删除全部映射,只留下?.asp?.asa两个。特别要删除.cer的映射。(可选)
3、修改UpFile_Article.asp、Upfile_Dialog.asp、UpFile_Photo.asp、UpFile_Soft.asp、Upfile_AdPic.asp、UpFile_SoftPic.asp这几个有关上传的文件,找到如下这行:
动易用户:
for?each?FormName?in?objUpload.file?'列出所有上传了的文件
动力用户:
for?each?formName?in?upload.file?'列出所有上传了的文件
在这一行下加上如下这一行代码:
EnableUpload=False
即可。

或者下载我们提供的补丁。覆盖原文件。

4、最好检查一下网站中的所有文件。如果是自己的服务器,请再检查是否已经上传了其他木马程序。


补丁下载:

动易用户:

动易网络发布的漏洞补丁公告

http://www.asp163.net/download/patch4x.rar

动力用户:

动易网络发布的漏洞补丁公告

http://www.asp163.net/download/patch3x.rar

(编辑:ASP站长网)

    网友评论
    推荐文章
      热点阅读