第三方漏洞報(bào)告平臺(tái)烏云最新曝光DedeCMS（織夢(mèng)）建站系統(tǒng)SQL注入漏洞（http://zone.wooyun.org/content/2414）。攻擊者可以借此漏洞實(shí)施攻擊，直接竊取服務(wù)器數(shù)據(jù)。據(jù)360網(wǎng)站安全檢測(cè)對(duì)注冊(cè)用戶的分析發(fā)現(xiàn)，半數(shù)以上使用DedeCMS系統(tǒng)的網(wǎng)站受到該漏洞威脅，建議站長盡快安裝織夢(mèng)官方補(bǔ)丁。

        DedeCMS在國內(nèi)應(yīng)用廣泛，是目前最流行的建站系統(tǒng)之一。本次曝光的漏洞已經(jīng)影響網(wǎng)易、萬網(wǎng)、人人、CSDN以及織夢(mèng)官方演示站點(diǎn)等眾多知名網(wǎng)站，還有大批中小網(wǎng)站同樣存在漏洞風(fēng)險(xiǎn)，廣大站長應(yīng)予以高度重視。

        據(jù)360安全工程師分析，DedeCMS最新曝光的SQL注入漏洞存在于/plus/search.php中，其中的$typeid變量被二次覆蓋導(dǎo)致前面的判斷失效，從而產(chǎn)生漏洞。而且，包括GBK版本和UTF-8版本的DedeCMSV5.7均存在這一漏洞。

        目前，織夢(mèng)DedeCMS官網(wǎng)已經(jīng)發(fā)布補(bǔ)丁程序，360網(wǎng)站安全檢測(cè)平臺(tái)第一時(shí)間向注冊(cè)用戶群發(fā)了告警郵件，提醒用戶盡快打補(bǔ)丁，防止黑客拖庫攻擊。同時(shí)，360網(wǎng)站工程師建議網(wǎng)站管理員及個(gè)人站長使用360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)網(wǎng)站進(jìn)行全面體檢，掌握網(wǎng)站安全狀況，并使用360網(wǎng)站衛(wèi)士防御黑客攻擊。

織夢(mèng)官方補(bǔ)丁程序下載地址：

        http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130115.zip

關(guān)于360網(wǎng)站安全服務(wù)

        360為站長提供免費(fèi)的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士：

        360網(wǎng)站安全檢測(cè)平臺(tái)是國內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái)，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測(cè)系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞；

        360網(wǎng)站衛(wèi)士則為站長免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁面壓縮、緩存加速和永久在線等服務(wù)。

關(guān)于奇虎360科技有限公司

        360（NYSE:QIHU）是中國領(lǐng)先的互聯(lián)網(wǎng)安全服務(wù)提供商。按照用戶數(shù)量計(jì)算，目前360是中國前三大互聯(lián)網(wǎng)公司之一。據(jù)第三方數(shù)據(jù)顯示，作為互聯(lián)網(wǎng)“免費(fèi)安全”的首創(chuàng)者，360為逾4億中國互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無線安全產(chǎn)品及服務(wù)，用戶滲透率逾90%。360通過提供細(xì)致、完善的平臺(tái)服務(wù)以及網(wǎng)絡(luò)安全服務(wù)，以開放平臺(tái)實(shí)現(xiàn)商業(yè)價(jià)值，與合作伙伴共同建立起多方共贏的互聯(lián)網(wǎng)生態(tài)體系。

新聞來源：中國站長站

• 

  廣告合作

• 

  QQ群號(hào)：4114653