廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 7511 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
n5998744
個人文章 個人相簿 個人日記 個人地圖
版主
級別: 版主 該用戶目前不上站
版區: ECShop 討論區
推文 x62 鮮花 x97
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
[程式][2.7.0] 發佈 ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110421]
來源 : 發佈 ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110421]



此次補丁非修復問題,由於論壇被攻擊,0415補丁包已經被污染,裡面包含危險代碼。所以請下載過0415補丁的用戶用下面最新的0421補丁再覆蓋一次保證網店系統安全。現在的補丁包及下載包已經以由論壇轉至獨立的下載服務器上。


1、發貨單批量操作時候,提示錯誤
2、手機購物出現錯誤
3、低版本mysql 提交訂單出現錯誤
4、關閉庫存管理且庫存不足, 禮包不能購買
5、郵件雜誌中添加插入圖片插入相對路徑導致發送郵件圖片無法顯示
6、Search.php頁面過濾不嚴導致SQL注入漏洞以及後台開店嚮導會產生的漏洞
7、flow文件過濾不嚴
8、前台用戶越權操作
9、禮包id未過濾
10、fck漏洞爆路徑 危險級 中
11、商品列表組合sql時,對條件少了一層過濾。 危險級 中  【wooyu提供】
12、Ecshop2.7.2持久型XSS    危險級 中 【wooyu提供】
13、mobile的搜索添加過濾  
14、文件api/checkorder.php 添加過濾 危險級中
15、支付方式注射漏洞
16、XSS腳本跨站漏洞修復  危險級中  感謝@zhufeng16提供
17、calendar.php 添加過濾 危險級中
18、ecshop模板文件過濾php標籤 危險級中
19、分類頁添加過濾     危險級中    感謝 http://www.fen....org/ 提供
20、後台部分文件添加過濾,避免出現sql錯誤  危險級中   感謝 http://www.fen....org/ 提供



下面為各個包的下載地址
ECshop2.7.2

utf8:http://download.ecshop.com/2.7.2buding/1..._UTF8_patch015.rar
下方附件是 繁化utf8
gbk:http://download.ec...m/2.7.2

ECshop2.7.1
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_271.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_271.rar

ECshop2.7.0
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_270.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_270.rar

ECshop2.6.2
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_262.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_262.rar

ECshop2.6.1
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_261.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_261.rar

ECshop2.6.0
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_260.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_260.rar


這個補丁會屏蔽模板中帶有的php標籤,提高模板安全性。由於以前模板文件是可能帶有php程序的,所以有些開發商為了保持源程序不變,在模板中加入了php代碼(這個主要是為了升級,如果更改了源代碼,升級十分不方便,也是為了用戶考慮)。如您使用的是第三方模板,打上補丁後錯誤,請用同一編碼的2.7.1中的includes/cls_template.php覆蓋或者是去掉該文件中的287行的        $source=preg_replace("/<\?[^><]+\?>/i","",$source);。(官網的2.7.2下載包已經打上補丁),如果您屬於這類用戶,請不要上傳 includes/cls_template.php 該文件。

如果您已經打了
http://bbs.ecshop.com/view...tid=148571
文件補丁
可以只上傳:
comment.php
category.php
includes/cls_template.php
admin/goods.php
admin/users.php
admin/privilege.php
admin/flow_stats.php
admin/order_stats.php
admin/searchengine_stats.php
admin/ecshopfiles.md5
admin/patch_num



繁化utf8


本帖包含附件
zip 繁化檔-ECShop_2_7_2_UTF8_patch015.rar   (2022-06-09 14:18 / 255 KB)   下載次數:2


[ 此文章被n5998744在2011-05-15 17:40重新編輯 ]



獻花 x0 回到頂端 [樓 主] From:臺灣中華電信股份有限公司 | Posted:2011-05-05 23:23 |
qee7795
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

n5998744 大大
您有即時通嗎
我有ECSHOP相關問題想問你
謝謝


獻花 x0 回到頂端 [1 樓] From:臺灣中華電信股份有限公司 | Posted:2011-05-18 18:25 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.056503 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言