关于织梦(DEDE)系统最新漏洞和修补通知

尊敬的用户:
鉴于近期因dedecms程序暴出漏洞被部分不法分子利用,导 致部分用户所使用的空间、vps、托管租用产品受到极大影响, 我司建议从以下几方面着手对服务器及站点程序进行安全加固, 以保证业务有效正常运行。
1、 立刻检查网站后台用户名密码是否正常,查看登录日志是否 异常。
2、 立刻备份网站程序及数据库文件。
3、 更新程序到最新版本(并不能完全解决故障,需配合其他建 议执行)。
4、 注册使用360网站卫士(wangzhan.360.cn)。
5、 立刻清理木马(使用护卫神或网站安全狗扫描站点程序文件 )。
6、 加强服务器安全(如在防火墙中禁用UDP等)。
7、 将plus目录权限更改至最低。
8、 如果网站用不到会员中心,可将member目录删除或更名。
9、 清除网站程序文件内所有注释内容。
10、 更换程序,使用其他cms程序替代dedecms。

附:

Dedecms最新变量覆盖漏洞
WASC Threat Classification

发现时间:
2013-07-03

漏洞类型:
其他

所属建站程序:
DedeCMS

所属服务器类型:
通用

所属编程语言:
PHP

描述:
目标存在全局变量覆盖漏洞。
1.漏洞文件/include/common.inc.php
2.检查外部变量存在缺陷,导致可以任意覆盖任意全局变量。

危害:
1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门 。

临时解决方案:
在 /include/common.inc.php中找到如下代码
CheckRequest($_REQUEST);
在下面添加
CheckRequest($_COOKIE);