AkCms v4.0.2-4.0.9 存在严重安全漏洞 请速重置配置文件

作者:匿名 hihi 来源:www.akcms.com 浏览: 2012-4-13 16:49:10 字号:
[摘要]AKCMS是国内最著名的轻量级CMS建站程序,在主流PHP建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱,AkCms近日公布了一个严重安全漏洞,提醒站长及时修复。

  AkCms 官方近日公布了存在于v4.0.2-4.0.9的一个严重安全漏洞,提醒站长朋友及时修复。

  利用该漏洞黑客可以自行构造一个cookie,可直接获得后台权限,从4.0.1以下版本升级上来的站点不受影响,启用了自定义后台目录(如何自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm)的站点不受影响。

  请马上按照下面的方法进行修复:

  请打开configs/config.inc.php,将

  $codekey = "akcms";

  中的akcms改成一串别人猜不到的随机数,比如:khowda0、17fyw95j,长度不限。

  改完之后应该类似这样的:

  $codekey = "lhk73hf2";

  然后保存,修补完毕。

  解释:

  这个漏洞产生的原因是,从4.0.2版开始重写了安装脚本中生成配置文件的代码。逻辑是:如果读到了配置项的值,就以此值为准;但安装过程中系统尚未生成配置文件,此时会有一个临时的固定配置项(临时值是akcms),这个配置项的存在导致了,系统误认为原来指定过$codekey,就仍然沿用了akcms,导致了这些版本安装后的网站的codekey都是一样的;正常情况下系统应该自动生成一串$codekey。

  危害:

  如果网站是从4.0.2-4.0.9版本安装的,而且未自定义后台目录(如何自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm),也没有按照上面说的重置$codekey。黑客可以自行构造一个cookie,可直接获得后台权限。

  出现如此严重的漏洞,是我在写程序时粗心大意,测试不足造成的结果,在此我深表歉意。AKCMS站长朋友们如果不确定自己是否已经补上了这个漏洞,我可以帮助检查代码;不想自己动手,我也可以代劳(免费,我的QQ:2634280389)(例外一次:破解用户也可享受此免费服务)。

  不过从另一个侧面说明了,自定义后台目录的机制真的是很有用的(如何自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm)。

  原文地址:http://www.akcms.com/dynamic/reset-safecode.htm

  • 软件大小:248KB
  • 软件类别:国产软件 | CMS建站
  • 软件语言:简体中文
  • 运行环境:PHP/Mysql
  • 软件授权:免费版
  • 更新时间:2015-10-8 14:06:56
  • 相关链接:Home Page

 

sssss
Tags: AkCms  
责任编辑:mozi
编辑推荐排行