当前位置:
|
主题:[告急]安全补丁,发布于2008-7-21 [收藏主题] | 转到: |
 此漏洞是利用Win2003存在的一个文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞. Windows 2003 IIS6处理文件夹扩展名的时候出错,导致放在该目录中的JPG图片会自动执行其中的ASP代码。当JPG后辍的文件含有ASP代码都会被执行。当然不只是JPG后辍才行。 Windows 2000 IIS5处理JPG图片中如包含有Html及ASP代码,只会执行Html代码,而不会执行JPG图片中的ASP代码。所以Windows 2000 IIS5中不存在这个漏洞。这个漏洞很明显是由.asp结尾的文件名称所导致,属于IIS6设计缺陷。
针对kesion软件的防范办法: 请将上传文件夹,默认为upfiles目录内设置脚本权限为"无"。
通过前台会员中心的上传用户头像,用户可绕过脚本验证自行更改文件夹名称为.asp.
安全补丁下载:
5.0 GB版:
5.0 UTF-8版:
以上请根据自己的版本号下载覆盖到ks_cls目录
4.x UTF-8版本:
以上共更新三个文件,请下载覆盖以根目录
说明:此补丁适合所有用户,包括免费版及商业版.2008-7-21 20:00在官网下载的用户无需打此补丁.
安全小建议: 1、请随时关注官方网站www.kesion.com及官方论坛.bbs.kesion.com 2、您的后台建议开启官方公告功能,以便及时了解软件的最新动态。 3、确保软件升级到最新版本。
漳州科兴信息技术有限公司 2008-7-21 |
|||||||||
 支持(0) |  反对(0)
 顶端  底部
|
![电子邮件:[ kesioncms@hotmail.com ]](http://bbs.kesion.com/club/images/email.gif){kind=small}
|
支持(0) | 反对(0)
顶端 底部
|
 我用的5.0GB的,是要将Kesion.WebFilesCls.asp这个文件上传到UpFiles目录中吗?将Kesion.WebFilesCls.asp放到UpFiles就行了吧?我的网站http://www.05mi.com也中马了(是病毒?)了,是不是这个没加入的原因?
|
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
|
支持(0) | 反对(0)
顶端 底部
|
 已经碰到这个问题了,网站经常被挂马。另外,如果不设置的话,KESION系统注册一个用户就会生成以用户名命名的一个文件夹,所以你想想,如果有人注册一个 xx.asp 的用户帐号,然后上传一个头像或者图片(小马)大家看看会怎样?恐怖啊!
|
|
|
支持(0) | 反对(0)
顶端 底部
|
| <上一主题 | 下一主题 > |