这几天有高人说DVBBS又有新的漏洞了,按照他们的提示,看了看,的确这个漏洞非常的严重,按照他们的话就是:"DVBBS 7.0 SP2以下的通杀!",非常的严重,今天我也测试了一些论坛.的确是存在,而且既是论坛不开设文件上传功能,任然可能存在这个漏洞,所以建议大家赶快修补改漏洞.
涉及到的文件:upfile.asp 以及上传有关的.asp
详细的资料,请看:
http://www.xfocus.net/articles/200405/700.html
不过相关的修补为:
找到fileExt=lcase(file.FileExt)
将其修改为:
fileExt=FixName(file.FileExt)
formPath=Replace((Replace(formPath,Chr(0),""),".","")
然后在最后的%> 之前,加入检测函数FixName() 函数:
Function FixName(UpFileExt)
If IsEmpty(UpFileExt) Then Exit Function
FixName = Lcase(UpFileExt)
FixName = Replace(FixName,Chr(0),"")
FixName = Replace(FixName,".","")
FixName = Replace(FixName,"asp","")
FixName = Replace(FixName,"asa","")
FixName = Replace(FixName,"aspx","")
FixName = Replace(FixName,"cer","")
FixName = Replace(FixName,"cdx","")
FixName = Replace(FixName,"htr","")
FixName = Replace(FixName,"php","")
End Function
由于该漏洞涉及到非常危险的东西,所以请大家密切关注修改!
原来总认为自己的网站很牛B,现在看来,www.91linux.cn比我的牛B多了,我要加油,向www.91linux.cn看齐。