ShopEx发布远程代码履行漏洞修复补钉

核心提示：ShopEx发布单店版V4.7.1 KS47103修正了1个远程代码履行漏洞。收到漏洞报告后（ SHOPEX远程代码履行漏洞 ），ShopEx技术职员快速反应，于30分钟内即完成了补钉的制作测试与发布工作。 该漏洞是由于早期的PHP1个不安全的全局变量注册机制引发的，固然PHP在5年前就取消

　　ShopEx发布单店版V4.7.1 KS47103修正了1个远程代码履行漏洞。收到漏洞报告后（SHOPEX远程代码履行漏洞），ShopEx技术职员快速反应，于30分钟内即完成了补钉的制作测试与发布工作。

　　该漏洞是由于早期的PHP1个不安全的全局变量注册机制引发的，固然PHP在5年前就取消了该机制，但还是有某些服务器在配置时打开了该机制。因此这个漏洞只在1些对服务器未进行安全配置的小型及治理不规范主机商处才会产生。

　　固然尽大多数ShopEx用户均不存在该漏洞，但还是请ShopEx用户即刻自行打上该补钉。

　　相干说明：

　　补钉下载方法：用户可以登陆商店后台桌面左侧“升级信息”栏目看到并下载使用该补钉。

　　后台没有看到补钉？那应当是你把根目录下面的version.txt文件删除，重新上传上往便可以够了。

　　补钉升级方法：将下载的补钉包解紧缩后，2进制方式上传补钉包内文件到服务器上对应目录覆盖原文件；
　　留意1定要2进制上传，否则会出现 Fatal error: Unable to read 10790 bytes in /home/public_html/.......等毛病。

　　补钉包内容：
　　·修正远程代码履行漏洞
　　·修正前台发送给朋友功能
　　·修正验证码在某些服务器环境下的题目
　　·修正商店留言链接地址解析题目
　　·修正NPS网关返回题目
　　·修正ShopEx客服通文件
　　·其他1些细节优化及页面显示修正

　　补钉下载地址：
　　http://update.shopex.com.cn/version/program/KS47103.zip

　　经检测，ShopEx提供的所有主机配置并没有上述安全性题目。

　　相干浏览：

　　如何安全配置您的主机

　　最近发现的ShopEx远程代码履行漏洞是由于用户服务器的PHP配置中全局变量注册选项被毛病打开导致的，这说明对服务器进行安全配置是10分重要的，实际上全局变量注册是导致PHP程序安全缺点的最多见的缘由。

　　全局注册机制自出现以来，1直为PHP开发者们所诟病，终极大家决定取消全局变量注册机制并赞同代之以1种更好的输进参数的访问机制。因此从PHP4.1开始引进了名为超级全局变量的机制，以$_GET, $_POST, $_COOKIE, $_SERVER,和$_ENV变量代表不同来源的输进，同时可以在脚本的任意位置援用它们。在PHP4.1成功地采取了超级全局变量以后，2002年4月发布的PHP4.2默许封闭了全局变量注册机制。

　　但是，固然PHP在新安装时默许封闭了全局变量注册机制，但通过升级上来的PHP新版本还是在php.ini中保存了原本的设置。另外，很多小型的主机提供商或个人自行安装的会故意地打开全局变量注册机制，这是由于他们所使用的古老的编写得很糟的程序还是依托于全局变量注册机制进行输进处理的。

　　因此，请立即检查您的主机的php.ini文件，register_globals是否是是on，请把它修改成off，进步您主机的安全性。

　　如何判定1个主机的register_globals是否是开着？非常简单。

　　用记事本写1个名为info.php的文件，内容以下：

 phpinfo();
?>

　　传到服务器运行后，服务器会返回配置信息，找到register_globals1行，安全配置主机该选项应当是Off的。

　　经检测，ShopEx提供的所有主机配置并没有上述安全性题目。

　　相干报导：

　　SHOPEX最新漏洞利用及解决方案

评论加载中... 内容： 评论者： 验证码：