Board logo

標題: ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110421] [打印本頁]
作者: n5998744    時間: 2011-5-5 21:32     標題: ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110421]

本帖最後由 n5998744 於 2011-5-5 21:33 編輯

來源 : 發佈 ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110421]



此次補丁非修復問題,由於論壇被攻擊,0415補丁包已經被污染,裡面包含危險代碼。所以請下載過0415補丁的用戶用下面最新的0421補丁再覆蓋一次保證網店系統安全。現在的補丁包及下載包已經以由論壇轉至獨立的下載服務器上。


1、發貨單批量操作時候,提示錯誤
2、手機購物出現錯誤
3、低版本mysql 提交訂單出現錯誤
4、關閉庫存管理且庫存不足, 禮包不能購買
5、郵件雜誌中添加插入圖片插入相對路徑導致發送郵件圖片無法顯示
6、Search.php頁面過濾不嚴導致SQL注入漏洞以及後台開店嚮導會產生的漏洞
7、flow文件過濾不嚴
8、前台用戶越權操作
9、禮包id未過濾
10、fck漏洞爆路徑 危險級 中
11、商品列表組合sql時,對條件少了一層過濾。 危險級 中  【wooyu提供】
12、Ecshop2.7.2持久型XSS    危險級 中 【wooyu提供】
13、mobile的搜索添加過濾  
14、文件api/checkorder.php 添加過濾 危險級中
15、支付方式注射漏洞
16、XSS腳本跨站漏洞修復  危險級中  感謝@zhufeng16提供
17、calendar.php 添加過濾 危險級中
18、ecshop模板文件過濾php標籤 危險級中
19、分類頁添加過濾     危險級中    感謝 www.fengblog.org 提供
20、後台部分文件添加過濾,避免出現sql錯誤  危險級中   感謝 www.fengblog.org 提供



下面為各個包的下載地址
ECshop2.7.2

utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_2_7_2_UTF8_patch015.rar
繁化utf8 :  [attach]415[/attach]
gbk:http://download.ecshop.com/2.7.2 ... _2_GBK_patch015.rar

ECshop2.7.1
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_271.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_271.rar

ECshop2.7.0
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_270.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_270.rar

ECshop2.6.2
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_262.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_262.rar

ECshop2.6.1
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_261.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_261.rar

ECshop2.6.0
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_260.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_260.rar


這個補丁會屏蔽模板中帶有的php標籤,提高模板安全性。由於以前模板文件是可能帶有php程序的,所以有些開發商為了保持源程序不變,在模板中加入了php代碼(這個主要是為了升級,如果更改了源代碼,升級十分不方便,也是為了用戶考慮)。如您使用的是第三方模板,打上補丁後錯誤,請用同一編碼的2.7.1中的includes/cls_template.php覆蓋或者是去掉該文件中的287行的        $source=preg_replace("/<\?[^><]+\?>/i","",$source);。(官網的2.7.2下載包已經打上補丁),如果您屬於這類用戶,請不要上傳 includes/cls_template.php 該文件。

如果您已經打了
http://bbs.ecshop.com/viewthread.php?tid=148571
文件補丁
可以只上傳:
comment.php
category.php
includes/cls_template.php
admin/goods.php
admin/users.php
admin/privilege.php
admin/flow_stats.php
admin/order_stats.php
admin/searchengine_stats.php
admin/ecshopfiles.md5
admin/patch_num
作者: arstin    時間: 2011-5-8 18:32

謝謝樓主的用心唷~^^
作者: Rabbit    時間: 2011-5-9 09:55

謝謝版主,感激不盡,趕緊更新去
作者: dog099    時間: 2012-4-14 20:35

V2.7.3 已經發佈囉~ 加油!!



歡迎光臨 ECSHOP 交流討論區 (http://ecshop.tw/bbs/) Powered by Discuz! 7.0.0