版主

Rank: 7 Rank: 7 Rank: 7

積分: 346
威望: 346
金錢: 26

1^#

打印

字體大小: tT

發表於 2011-4-6 02:04 | 只看該作者

帖子標題：發佈 ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110323]

mysql

本帖最後由 n5998744 於 2011-4-6 02:21 編輯

官網: 發佈 ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110323]

1、發貨單批量操作時候，提示錯誤
2、手機購物出現錯誤
3、低版本mysql 提交訂單出現錯誤
4、關閉庫存管理且庫存不足，禮包不能購買
5、郵件雜誌中添加插入圖片插入相對路徑導致發送郵件圖片無法顯示
6、Search.php頁面過濾不嚴導致SQL注入漏洞以及後台開店嚮導會產生的漏洞
7、flow文件過濾不嚴
8、前台用戶越權操作
9、禮包id未過濾
10、fck漏洞爆路徑危險級中
11、商品列表組合sql時，對條件少了一層過濾。危險級中  【wooyu提供】
12、Ecshop2.7.2持久型XSS 危險級中【wooyu提供】
13、mobile的搜索添加過濾
14、文件api/checkorder.php 添加過濾危險級中
15、支付方式注射漏洞
16、XSS腳本跨站漏洞修復  危險級中  感謝@zhufeng16提供
17、calendar.php 添加過濾危險級中
18、ecshop模板文件過濾php標籤危險級中

ECshop2.7.2
utf8:  ECShop_2_7_2_UTF8_patch013.rar (212.2 KB)
繁化: (215 KB)
gbk:  ECShop_2_7_2_GBK_patch013.rar (207.2 KB)

ECshop2.7.1
utf8:  ecshop271_utf8.rar (8.59 KB)
gbk:  ecshop271_gbk.rar (8.58 KB)

ECshop2.7.0
utf8:  ecshop270_utf8.rar (8.59 KB)
gbk:  ecshop270_gbk.rar (8.41 KB)

ECshop2.6.2
utf8:  ecshop_262utf8.rar (8.59 KB)
gbk:  ecshop262_gbk.rar (8.41 KB)

ECshop2.6.1
utf8:  ecshop261_utf8.rar (8.59 KB)
gbk:  ecshop261_gbk.rar (8.41 KB)

ECshop2.6.0
utf8:  ecshop260_utf8.rar (8.52 KB)
gbk:  ecshop260_gbk.rar (8.34 KB)

ECshop2.5.0
ecshop250.rar (7.97 KB)

如果已經打上
http://bbs.ecshop.com/thread-148282-1-1.html
的補丁，可以只上傳
includes/cls_template.php
admin/patch_num

這個補丁主要修復模板中帶有的php標籤，提高模板安全性。由於以前模板文件是可帶有php程序的，所以有些開發商為了保持源程序不變，在模板中加入了php代碼（這個主要是為了升級，如果更改了源代碼，升級十分不方便，也是為了用戶考慮）。如您使用的是第三方模板，打上補丁後錯誤，請用同一編碼的2.7.1中的includes/cls_template.php覆蓋或者是去掉該文件中的287行的       $source = preg_replace("/<\?[^><]+\?>/i", "", $source);。（官網的2.7.2下載包已經打上補丁），如果您屬於這類用戶，請只上傳admin/patch_num，不要上傳includes/cls_template.php

附件: 您所在的用戶組無法下載或查看附件

收藏分享評分

提醒您: 您在"ECSHOP 交流討論區"交流請遵守台灣法律規範,"n5998744" 發表的文章《發佈 ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110323]》版權歸屬作者所有,如是轉貼版權歸屬原作者所有．本論壇不對其真實性做任何考證．

回復引用

訂閱 TOP

chris7799

註冊會員

Rank: 2

積分: 37
威望: 37
金錢: 0

2^#

發表於 2011-4-6 11:05 | 只看該作者

感謝分享……
安全性能再進一步解決了~
順便請問一下
只要更新此 ECShop V2.7.2 release 0604 patch013 檔
ECShop V2.7.2 release 0604 patch012 等之前的更新檔
都可不用在更新了是嗎?~謝謝~

提醒您: 您在"ECSHOP 交流討論區"交流請遵守台灣法律規範,"chris7799" 發表的文章《》版權歸屬作者所有,如是轉貼版權歸屬原作者所有．本論壇不對其真實性做任何考證．

回復引用

TOP

fox50251

註冊會員

Rank: 2

積分: 57
威望: 57
金錢: 1

3^#

發表於 2011-4-7 05:52 | 只看該作者

請問補丁如何安裝,直接覆蓋即可嗎?

提醒您: 您在"ECSHOP 交流討論區"交流請遵守台灣法律規範,"fox50251" 發表的文章《》版權歸屬作者所有,如是轉貼版權歸屬原作者所有．本論壇不對其真實性做任何考證．

回復引用

TOP

n5998744

版主

Rank: 7 Rank: 7 Rank: 7

積分: 346
威望: 346
金錢: 26

4^#

發表於 2011-4-8 23:37 | 只看該作者

感謝分享……
安全性能再進一步解決了~
順便請問一下
只要更新此 ECShop V2.7.2 release 0604 patch013 檔
ECShop V2.7.2 release 0604 patch012 等之前的更新檔
都可不用在更新了是嗎?~謝謝~ ...
chris7799 發表於 2011-4-6 11:05

正確 ,這是購物車官網的老仙覺說的,我也是這麼做,就OK了.

提醒您: 您在"ECSHOP 交流討論區"交流請遵守台灣法律規範,"n5998744" 發表的文章《》版權歸屬作者所有,如是轉貼版權歸屬原作者所有．本論壇不對其真實性做任何考證．

回復引用

TOP

n5998744

版主

Rank: 7 Rank: 7 Rank: 7

積分: 346
威望: 346
金錢: 26

5^#

發表於 2011-4-8 23:38 | 只看該作者

請問補丁如何安裝,直接覆蓋即可嗎?
fox50251 發表於 2011-4-7 05:52

是的,直接覆蓋即可

回復引用

TOP

Rabbit

註冊會員

Rank: 2

積分: 114
威望: 114
金錢: 9

6^#

發表於 2011-4-9 10:02 | 只看該作者

想請問一下官網版本 ECShop V2.7.2 release 0604 解壓縮之後，
會有三個資料夾，但是安裝只需要一個。其他兩個是作什麼用的呢？
有一個UPGRADE的資料夾是修正及更新用的嗎？安裝後UPGRADE資料夾的檔案要放那邊？
還是更新此 ECShop V2.7.2 release 0604 patch013 檔即可？怎麼更新。
（不好意思，新手問題比較多

）