关于紧急修补Discuz!高危零日漏洞的通报
 

尊敬的客户:
  您好!
  鉴于近日国家互联网应急中心发现一款流行论坛软件系统Discuz!存在高危零日漏洞,此漏洞不会对虚拟主机系统造成影响,直接影响的是Discuz!论坛软件,已对国内10余万网站论坛构成严重威胁。若您目前正在使用Discuz!论坛软件(7.1和7.2版本),请根据下文给出的解决方案步骤操作修复,特此公告:

  漏洞信息:
  Discuz!是一款国内非常流行的社区论坛软件系统。 Discuz!7.1与7.2版本的showmessage函数中eval执行的参数未初始化,远程攻击者可以借此以WEB权限执行任意PHP代码。网上已经出现针对漏洞的攻击行为,据悉目前大量使用该版本Discuz!软件的用户受到该漏洞影响。Discuz!厂商已提供了修补方法,建议用户尽快采取以下措施避免受到漏洞影响。

  解决方案步骤:
  下载并安装软件厂商提供的补丁程序,具体过程如下:
  1. 根据软件版本下载相应补丁包 7.1 用户 http://download2.comsenz.com/Discuz/patch/7.1/D710_UPGRADE_TO_20100110.zip
   7.2 用户 http://download2.comsenz.com/Discuz/patch/7.2/D720_UPGRADE_TO_20100110.zip
  2. 解压缩文件
  3. 上传upload目录中的所有文件到论坛, 覆盖原有程序
  4. 修复完成

CNCERT网站公告地址:
http://www.cert.org.cn/articles/bulletin/common/2010010824736.shtml

信息提供者:
国家信息安全漏洞共享平台共建成员单位:安天公司、知道创宇公司、启明星辰公司

沈阳亿通先锋互联数据有限公司