PHPCMS发布V9.6.3(20170515)升级补丁 修复SQL注入漏洞

V9.6.3 (20170515) 升级说明:

上传upload中的文件到网站根目录,覆盖原有文件。
登录后台-更新缓存

本补丁适用于20170503版本 升级到20170515版本。

更新说明:

修复down.php下载漏洞
修复登录的一处sql注入漏洞
加强多出加解密key的生成
修改几个语言包的文字错误

特别说明:

安装后没修改过auth_key的phpcms用户,请及时修改一下,防止被爆破。
位置:
caches\configs\system.php
phpsso_server\caches\configs\system.php

完整版下载地址:
GBK版本:http://download.phpcms.cn/v9/9.6/phpcms_v9.6.3_GBK.zip
UTF-8版本:http://download.phpcms.cn/v9/9.6/phpcms_v9.6.3_UTF8.zip

程序升级请使用下面的升级包(9.6.2升级到9.6.3):
GBK版本:http://download.phpcms.cn/v9/9.0/patch/gbk/patch_20170503_20170515_GBK.zip
UTF-8版本:http://download.phpcms.cn/v9/9.0/patch/utf8/patch_20170503_20170515_UTF8.zip

全部升级包下载地址:
http://download.phpcms.cn/v9/9.0/patch/

原文地址:http://bbs.phpcms.cn/thread-936338-1-1.html

新出现的钓鱼攻击方式 慎用链接的target=”_blank”属性

早在2014年,就已经有很多安全研究专家表示,target=”_blank”属性是非常不安全的一个属性。而且当初有些关于该属性的安全报告为了引起人们的注意,还特地将标题设置得非常醒目。

现在,许多主流的互联网服务提供商都会在网页的链接地址中加入target=”_blank”属性,而这绝对是一种非常不安全的行为。不仅如此,target=”_blank”属性还将会使广大互联网用户暴露在钓鱼攻击的风险之下。

早在2014年,就已经有很多安全研究专家表示,target=”_blank”属性是非常不安全的一个属性。而且当初有些关于该属性的安全报告为了引起人们的注意,还特地将标题设置得非常醒目。

漏洞实现机制

阅读全文

Linux Bash发现重大安全漏洞

北京时间9月25日消息,Linux用户今天又得到了一个“惊喜”!Red Hat安全团队在 Linux 中广泛使用的Bash shell中发现了一个隐晦而危险的安全漏洞。该漏洞被称为“Bash Bug”或“Shellshock”。

当用户正常访问,该漏洞允许攻击者的代码像在Shell中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是,该漏洞已经在Linux中存在很长时间了,所以修补某个Linux机器很容易,但是要全部修补,几乎不可能实现。

Red Hat和Fedora已经发布了针对该漏洞的修补程序。该漏洞也会影响OS X,不过苹果公司尚未发布正式的修补程序。

这个Bash漏洞可能比Heartbleed更危险。

— — Robert Graham (@ErrataRob) 2014 年 9 月 24 日

Red Hat的Robert David Graham比较了该漏洞和Heartbleed,发现前者分布更广泛,有可能对系统安全带来长期影响。Graham在一篇博客文章中写道:“有大量的软件以某种方式与Shell交互,我们没有办法列举出受该漏洞影响的所有软件。”据The Verge报道,Berkeley ICSI的研究员Nicholas Weaver也同意这个说法:“它很隐晦、很可怕,并且会伴随我们多年。”

网络安全公司Rapid7工程部经理Tod Beardsley警告称,Bash漏洞的严重级别为“10”,这意味着它对用户电脑的威胁最大。Bash漏洞的利用复杂度级别为“低”,意味着黑客可以相对轻松地利用它发动攻击。

另外,网络安全公司Trail of Bits的CEO Dan Guido表示,“Heartbleed”漏洞能够允许黑客监控用户电脑,但不会取得控制权。而利用Bash漏洞的方法也更简单——只需要剪切和粘贴一行代码即可。

据称,谷歌安全研究员Tavis Ormandy在Twitter上表示,Linux系统提供商推出的补丁似乎“并不完整”,这引发了几位安全专家的担忧。(责编/单明珠)

本文转载自Linux中国,原文出自The Verge,部分内容有删改。