安全补丁,使用压缩包中文件覆盖原论坛根目录同名文件 更新文件SQL和AC版本通用 1、修正admin_lockuser.asp文件SQL注入漏洞 2、修正admin_postings.asp文件SQL注入漏洞 3、修正mymodify.asp/modifyadd.asp/reg.asp三个文件权限提升漏洞 4、修正dispbbs.asp页面投票过滤问题 [2005年8月9日更新] dispbbs.asp手动修改说明: 找到该行: Response.Write "var vote='"&Rs("vote")&"';" 修改成: TempStr=Rs("vote") TempStr=Replace(TempStr,";",";") TempStr=Replace(TempStr,"'","'") TempStr=Replace(TempStr,".",".") Response.Write "<div style=""display:none;"" id=""vote"">" Response.Write TempStr Response.Write "</div>" Response.Write "<Script Language=JavaScript>" Response.Write "var vote=document.getElementById(""vote"").innerHTML;"
注意:修正了投票过滤后,还需要关闭用户组的投票项目中采用HTML的权限,否则仍然可以有机会被挂木马. 5、修正recycle.asp文件SQL注入漏洞[2005年8月9日更新] 6、修正dispuser.asp页面HTML代码过滤问题[2005年8月9日更新] 2005年7月4日发布,2005年8月9日更新,在更新之后下载的动网论坛Ver7.0.0不需打此补丁
7.修正ado转换xml在记录集内容含特殊字符转换失败的错误,采用数组模式转换[8月12日更新]
涉及版本 dvbbs7.1 涉及页面:dispbbs.asp, 涉及模板:page_dispbbs-template.html(15)
更新方法:覆盖原dispbbs.asp
附加两项更新,修正0811模板在魔法表情下错位的错误.
到后台打开模板管理,编辑page_dispbbs-template.html(15) 把附带的dispbbs.xslt的内容提交上去即可.
说明一下:0812新增部分只是为解决某些贴无法浏览的问题,如果你不介意此问题的,又或者自己装了其他风格或插件,不便更新的,可以不更新,如果你自己更新失败,请检查你自己的操作是否正确,论坛状态是否良好.....如果失败可以尝试清除缓存(早有此工具下载了)
无手工修改方法(修改内容颇多)
官方下载暂不包含第7项更新, 此更新已经包含上面说的第四项.
点击浏览该文件
更多更新信息请留意官方网站(www.dvbbs.net)和论坛(bbs.dvbbs.net)
程序版本:Dvbbs 7.0.0 SP2 下载地址:http://bbs.dvbbs.net/download/dvbbs7.0.0_0704.exe
程序版本:Dvbbs 7.1.0 下载地址:http://bbs.dvbbs.net/download/dvbbs7.1.0_0704.exe
|