[2006-10-29] Discuz! 4.1.0 FD 0801 修补版补丁
我们原定于2006年10月28日发布这个补丁,但由于新发现安全问题的增多,修补范围较官方修补有所扩大,FreeDiscuz! 团队为寻求最佳解决办法不得不推迟补丁的发布时间,在此向大家道歉!今后我们会在准备充足后再向大家公布相关补丁的发布事宜,以便让大家在第一时间为自己的论坛筑起安全防线。[b][color=Blue][size=2]发布说明[/size][/color][/b]
本次发布的补丁(2006年10月29日)中已经包括[url=http://www.discuz.net/thread-436515-1-1.html]官方2006年10月28日所发布的补丁[/url],同时也对 FreeDiscuz! 团队在研究 Discuz! 4.1.0 时发现的安全问题进行了修正。
此版本不属于 Discuz! 新版或 Discuz! 的分支程序,仅供 Freediscuz! 会员自己使用。任何人未得到本站允许,不得将其进行公开传播、发布、转载。由此而产生的一切纠纷和法律责任,由传播者自行承担。
Freediscuz! 对从其他途径获得本程序的任何组织和个人[color=Red]拒绝[/color]提供本修补版本的技术支持服务。
[b][color=Blue][size=2]补丁说明[/size][/color][/b]
此次发布的补丁以 Discuz! 4.1.0 [url=http://www.freediscuz.net/bbs/viewthread.php?tid=437]FD 0801 补丁包[/url]/[url=http://www.freediscuz.net/bbs/viewthread.php?tid=750]FD 修补版[/url] 为蓝本,由 FreeDiscuz! 团队针对近期发展的漏洞与问题进行的修补,当中未对原有数据结构和功能进行任何删减。
为区别以前版本,本次版本的RELEASE 编号更新为:[color=Red]20061029[/color],主版本编号不变。
由于精力有限,Freediscuz! 仅提供 GBK 版本的修正,其他版本可通过对比软件进行修正。
[b][color=Blue][size=2]适应版本[/size][/color][/b]
本补丁只适用于已打过 [url=http://www.freediscuz.net/bbs/viewthread.php?tid=437]Discuz! 4.1.0 FD 0801 补丁包[/url] 的用户的朋友。
本补丁中的部分修补内容 Discuz! 的某些其他版本中也均存在,我们由于时间和精力所限暂时无法研究和修补其他版本的相关问题,请其他版本用户关注并等待 Discuz! 官方发布的补丁。
[b][color=Red][size=2]声明警告[/size][/color][/b]
本补丁中的部分修补内容 Discuz! 的某些其他版本中也均存在,FreeDiscuz! 团队为照顾广大用户的利益,不提供本次补丁的手工修改方法。也请喜欢研究代码的朋友们将精力用于正道,不要将其应用于非法途径和损害其他用户利益的事情上,从而真正造福 Discuz! 用户乃至 PHP 领域。
[b]我们也特别提醒广大用户尽快进行本补丁的修补或关注官方最新信息,以免给您的站点带来难以挽回的惨重损失和不必要的麻烦。[/b]
[b][color=Blue][size=2]修补办法[/size][/color][/b]
上传补丁压缩包里 upload 目录中的所有文件,覆盖原文件即可。
本补丁包仅仅包含修正的文件,并非完整的 Discuz! 4.1.0 完整版本。打好补丁包的完整版本,请到 [url=http://www.freediscuz.net/bbs/viewthread.php?tid=750]这里[/url] 下载。
[b][color=Blue][size=2]更新列表[/size][/color][/b]
1.修补无法使用批量删帖删除已删除用户帖子(3.0F, 4.0, 4.1, 5.0 均存有该问题存在)
2.修补wap字符截取问题(4.0, 4.1, 5.0 均存有该问题存在)
3.修补5处严重漏洞
[b][color=Blue][size=2]修补文件[/size][/color][/b]
根目录
\register.php
\discuz_version.php
admin 目录
\admin\prune.inc.php
include 目录
\include\common.inc.php
\include\global.func.php
wap 目录
\wap\index.php
\wap\include\global.func.php
\wap\include\login.inc.php
\wap\include\thread.inc.php
ipdata 目录
\ipdata\wry.dat(附带新的IP数据库) 补充一下,附送了最新版本的IP数据库,虽然比以前小但资料更加准确.
关于以前所出现的水印漏洞是PHP的溢出漏洞,PHP官方已修复该问题,建议大家升级到最新的5.1.6(推荐)或4.4.4.
[url]http://bugs.php.net/bug.php?id=38112[/url]
[url]http://www.php.net/ChangeLog-5.php[/url]
[url]http://www.php.net/ChangeLog-4.php[/url]
2006-10-29 17:50 以前下载安装的用户请注意
如果您是在 2006-10-29 17:50 以前下载并安装补丁的用户,可能会在退出时出现白板的状况,这是我们制作补丁时的一个细小的疏忽,希望您能够谅解![color=Green][b][size=2]第一楼的压缩包中已经涵盖了这个修复[/size][/b][/color],手工修复该问题的办法如下:===============================================
在 include 目录下的 [b]common.inc.php[/b] 文件中
[code]$link_logout = 'logging.php?action=logout';[/code]
改为
[code]$link_logout = 'logging.php?action=logout&formhash='.FORMHASH;[/code]
完毕
===============================================
另外,在根目录下的 [b]discuz_version.php[/b] 文件中将
[code]define('DISCUZ_RELEASE', 'XXXXXXXX');[/code]
[b][color=Red]其中的数字[/color][/b]替换为
[code]define('DISCUZ_RELEASE', '20061029');[/code]
以避免更新补丁之后后台依然存在官方的安全漏洞修补公告。
===============================================
感谢会员 [url=http://www.freediscuz.net/bbs/viewpro.php?uid=11210]star21cn[/url] 的[url=http://www.freediscuz.net/bbs/viewthread.php?tid=1725]反馈[/url]与大家的支持!
页:
[1]