abc9420032005 發表於 2006-11-9 00:06:31

近日DISCUZ官網公佈多項插件漏洞問題

近日DISCUZ官網公佈多項插件漏洞問題

為維護主機及使用者安全性問題,以下公布四款高危插件
建議自行修补或者卸载插件
原網址
http://www.discuz.net/thread-421718-1-1.html
【注意】安装插件存在风险,安全隐患不容忽视(公布4款高危插件)


  根据近期我们接到的论坛社区被入侵的案例来看,由于插件造成的论坛被入侵事例正在呈上升趋势。

  由于Discuz! 本身具有较高的安全性,加之论坛程序自身的不断完善,被攻击和利用的几率越来越低。然而,很多站点出于自身的需求,安装了各种各样的插件。大家仅注重插件的表面功能,不懂代码或者无暇细细研读代码,从而导致论坛存在越来越多的隐患。插件的脆弱性已经引起一些黑客(攻击者)的兴趣。

  目前来看,插件的不安全因素主要存在于四个方面:

1、不顾效率,大量安装各种插件
      隐蔽性:★   可攻击性:★★★★危害性:★★

  一些插件仅仅注重功能,程序代码效率极低,有些站长盲目安装插件,从而造成论坛对服务器负担越来越大,如果利用专用工具频繁访问某些插件,极有可能导致服务器瘫痪,导致论坛无法访问。


2、盲目安装,随意卸载造成深层隐患
      隐蔽性:★★★★★ 可攻击性:★★ 危害性:★★★★

  某些站长由于看到一些插件功能很好,草率的进行了安装,事后发现并不适合自己的论坛,又进行了卸载。某些插件如果是完整的,并没有安全问题,但是如果卸载不干净,会导致程序中存在有残留的代码,这些代码就像是定时炸弹,随时会成为论坛的杀手。不但影响论坛的安全,甚至可能影响到今后的顺利升级。


3、插件质量堪忧,直接威胁论坛安全
      隐蔽性:★★★ 可攻击性:★★★★ 危害性:★★★★★

  一些插件由于制作比较粗糙,仅仅可以完成功能,但很多地方禁不住推敲,甚至程序存在逻辑问题。这些插件轻则导致会员属性异常(如积分、金钱、威望狂涨),重则可导致会员权限提升,甚至获取管理员权限。


4、好心办坏事,谨慎插件升级
      隐蔽性:★★★★ 可攻击性:★★★★ 危害性:★★★★★

  一些插件仅仅适合对应的版本,但是一些“好心人”未经严格测试使用在高版本的论坛程序上。 由于插件大多属于业余制作,插件原作者不提供后期维护和技术支持,一旦论坛程序升级,这些插件就无法使用。一些站长经过简单修改,另其可以工作在更高版本上。殊不知,由于论坛某些核心体系的变更,如果插件仅仅是简单的适应性修改,很有可能埋下隐患,成为黑客攻击的目标。

        
         针对以上问题,我希望站长在选择插件的时候进行仔细斟酌,审慎定夺。
      本文以及本人无意打击饱含热情的插件作者,对于能够把自己的劳动成果无偿奉献出来的朋友,我由衷的钦佩并感谢备至。我希望能够有更多、更优秀、更安全的插件推出,把论坛程序打造的尽善尽美。

      


QUOTE:
以下公布四款高危插件,由于涉及站点颇广,对于问题细节不再进行过多的描述,建议自行修补或者卸载插件。

1. 【银行】 危害:★
建议: 千万不要把银行行长的职务设置给非管理员

2. 【许愿池】危害: ★★★★★
建议立即删除此插件所有文件!!!

3. 【社区婚姻 1.0】危害: ★★★★★
建议立即删除此插件所有文件!!!

4. 【宠物】危害: ★★★★
建议立即关闭此系统!

Morries 發表於 2006-11-9 00:24:32

站長Hua、副站長Morries已知悉此一情事,感謝提示。
頁: [1]
檢視完整版本: 近日DISCUZ官網公佈多項插件漏洞問題