[F2Blog] xmlrpc.php 漏洞修正檔

F2Blog再度發佈一個漏洞修正檔,請各位使用者儘速更新

xmlrpc.php 漏洞補丁

漏洞危害說明:

  1. 主要通過離線BLOG書寫工具,透過它們的上傳一些可執行的PHP,JS文件到服務器,以對服務器產生攻擊。
  2. 需要使用特別的攻擊代碼,繞過管理員用戶名與密碼的檢測,才可以真正上傳可執行的文件。

主要防護方法:

  1. 如果不需要使用離線BLOG工具,可以直接刪除xmlrpc.php文件。
  2. 按以下方法更新xmlrpc.php文件。

主要修改如下:

  1. 修改metaWeblog_newMediaObject函數,增加文件擴展名的過濾,對沒有過濾的文件連接改成了首頁,但附件不會上傳到服務器上去。
  2. 對用戶名與密碼進行過濾,以確認用戶名與密碼的偽造登入。修改checkuser函數,對username和password增加一個safe_convert函數進行有害字符進行處理。(紅色為新增內容)

假如你連到該網站很慢的話,我的Google Pages有一份備份下載點

Related Posts Plugin for WordPress, Blogger...

One thought on “[F2Blog] xmlrpc.php 漏洞修正檔

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *