欢迎莅临 广东动易软件股份有限公司官网

动易2006最新安全更新(3月15日 适合所有版本)

  • 软件大小:
  • 软件类别: 国产软件
  • 下载次数:
  • 软件授权: 共享版
  • 软件版本:
  • 解压密码:
  • 软件语言: 简体中文
  • 运行平台: Win9x/NT/2000/XP/2003
  • 软件评级: ★★★
  • 更新时间:
  • 开 发 商: 动易
  • 注册地址: http://
  • 软件来源: 本站原创
  • 演示地址: http://
动易2006最新安全更新(3月15日 适合所有版本)

软件简介

广大动易用户朋友们:大家好!

首先真诚感谢大家对动易产品的关注和支持!正是因为有了您的关注和支持,才使得动易产品在实际应用过程中不断得到完善和加强。在2007年2月15日我们发布了动易2006最新漏洞公告(地址:http://www.powereasy.net/Announce/3004.html),当时提出了临时的解决方案。 我们经过反复检查和测试,对几个文件又进行了修正,主要是修复此次由于ASP目录执行权限引发的漏洞。为减少用户损失,请大家尽快打上补丁。

涉及文件:见打包文件中

危害程度:极严重。黑客可以通过此漏洞取得WebShell权限。

影响版本: 动易2006 所有版本(包括免费版、商业SQL版及Access版),正式版、SP1、SP2、SP3、SP4、SP5都受此影响。

漏洞描述:因为Win2003存在着一个文件解析路径的漏洞,当文件夹名为类似hack.asp的时候(即文件夹名看起来像一个ASP文件的文件名),此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件,通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁,所以几乎所有网站都会存在这个漏洞。关于此漏洞的文章,大家可以查看这里:http://help.powereasy.net/CMS/CMS2006/FAQ/1165.html

动易2006中的部分功能因为设计时没有考虑到这种攻击方式,致使黑客可以绕过上传文件时的扩展名检查,上传正常扩展名的木马文件,以得到WebShell权限。具有高级权限的后台管理员也可以利用此漏洞得到WebShell权限。

解决方案:请按照更新补丁包中的相关说明更新相关文件。

注明:2007年3月15日 18:00以后从官方下载中心下载完整包和单独升级包的用户不需要更新此补丁,因为包中已经更新并包含了此补丁的文件。

注意:为了使虚拟主机用户能够直接在网站后台查看空间商是否更新了组件,我们已经将组件重新打包。组件中的代码没有任何变化,仅仅版本号由1.7.0变为1.7.1,所以已经更新过组件的空间商可以不用更新组件。如果虚拟主机用户的后台仍然显示版本号为1.7.0,请联系空间商确认一下是否已更新组件。

                                                                                                                                          佛山市动易网络科技有限公司
                                                                                                                                                  2007年3月15日

下载地址

更新时间:2007-03-15 电信下载 网通下载

本站提供免费下载的动易软件仅供给个人用户非商业使用
在未获动易商业授权之前,不得将软件用于商业用途,不得用于任何非个人所有的项目之中,例如属于企业、政府单位所有的网站。