尊敬的用户:
您好,近日,开源社区论坛软件系统Discuz发布了X3.4版本,官方在最新版本中修复了多个安全问题,攻击者利用该漏洞可在获取论坛管理员权限后进行远程代码执行,进而远程控制服务器。
为避免您的业务受影响,京东云建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:
【漏洞概述】
Discuz官方发布的X3.4版本主要修复了两个安全问题,分别为authkey生成弱算法问题和管理员后台数据库连接密码修改未校验导致的任意代码执行漏洞。
?
【风险等级】
高风险
【漏洞影响】
被利用可导致任意代码执行和用户敏感信息泄露
【影响范围】
Discuz_X3.3_SC_GBK
Discuz_X3.3_SC_UTF8
Discuz_X3.3_TC_BIG5
Discuz_X3.3_TC_UTF8
Discuz_X3.2_SC_GBK
Discuz_X3.2_SC_UTF8
Discuz_X3.2_TC_BIG5
Discuz_X3.2_TC_UTF8
Discuz_X2.5_SC_GBK
Discuz_X2.5_SC_UTF8
Discuz_X2.5_TC_BIG5
Discuz_X2.5_TC_UTF8
【安全版本】
Discuz_X3.4_SC_GBK
Discuz_X3.4_SC_UTF8
Discuz_X3.4_TC_BIG5
Discuz_X3.4_TC_UTF8
【检测方法】
自行检查使用的版本是否在受影响范围内
【修复建议】
Discuz官方已经在2017年8月1日发布最新版,请用户检查自己使用的版本,并及时更新至最新版。
https://git.oschina.net/ComsenzDiscuz/DiscuzX/commit/8446bd9e897bb19672389cc4aed42716ccd0f537
https://git.oschina.net/ComsenzDiscuz/DiscuzX/commit/bb600b8dd67a118f15255d24e6e89bd94a9bca8a
