“Discuz! 后臺(tái)數(shù)據(jù)庫(kù)備份功能命令執(zhí)行漏洞”修復(fù)了嗎？

刻銘

阿里云給的提示：

2018年8月27號(hào)，有安全研究人員在GitHub上公布了有關(guān)Discuz!多個(gè)版本中后臺(tái)數(shù)據(jù)庫(kù)備份功能存在的命令執(zhí)行漏洞的細(xì)節(jié)。

目前官方對(duì)于老版本Discuz不再更新，如需要手動(dòng)修復(fù)此漏洞，較可靠的做法是將Discuz升級(jí)到Discuz3.4或以上版本。
【注意：該補(bǔ)丁為云盾自研代碼修復(fù)方案，云盾會(huì)根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進(jìn)行檢測(cè)，如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案，可能會(huì)導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞，云盾依然報(bào)告存在漏洞，遇到該情況可選擇忽略該漏洞提示】

【云盾自研代碼修復(fù)方案】
修改文件：/source/admincp/admincp_db.php
搜索代碼：$tablesstr .= '"'.$table.'" '; 修改成：$tablesstr.='"'.addslashes($table).'"';
搜索代碼：@unlink($dumpfile); 修改成：@unlink($dumpfile); $tablesstr=escapeshellarg($tablesstr);

現(xiàn)在最新版的DZ3.4是不是已經(jīng)修復(fù)了這個(gè)問(wèn)題了，我無(wú)視阿里云的這個(gè)提示就好吧？

我知道答案 回答被采納將會(huì)獲得1 貢獻(xiàn) 已有5人回答

crx349

新版 無(wú)這個(gè)問(wèn)題

牛離譜

crx349 發(fā)表于 2019-7-12 13:40
新版 無(wú)這個(gè)問(wèn)題

一直都有，我前幾天剛更新到Discuz! X3.4 R20200818 UTF-8，仍然存在這個(gè)問(wèn)題！

allthebest

全新安裝沒(méi)有這個(gè)漏洞，這個(gè)漏洞來(lái)自 Discuz ! x 1.5 或 Discuz  ! x 2.5 升級(jí)  Discuz ! x 3.4 版本！

羅永浩

allthebest 發(fā)表于 2020-9-4 03:40
全新安裝沒(méi)有這個(gè)漏洞，這個(gè)漏洞來(lái)自 Discuz ! x 1.5 或 Discuz  ! x 2.5 升級(jí)  Discuz ! x 3.4 版本！ ...

全新安裝沒(méi)有這個(gè)漏洞，就是說(shuō)在原先3.4的基礎(chǔ)上覆蓋更新還有這個(gè)漏洞嗎

allthebest

羅永浩 發(fā)表于 2020-9-11 02:28
全新安裝沒(méi)有這個(gè)漏洞，就是說(shuō)在原先3.4的基礎(chǔ)上覆蓋更新還有這個(gè)漏洞嗎 ...

全新安裝discus x 3.4 沒(méi)有這個(gè)漏洞