Discuz! X & UCenter出現(xiàn)高風(fēng)險安全漏洞，請各位站長盡快修復(fù)！

dashen

尊敬的 Discuz! X 用戶，您好！

近日，Discuz!安全中心監(jiān)測到一個UCenter的高風(fēng)險安全問題，可能會導(dǎo)致部分站點(diǎn)無法正確統(tǒng)計(jì)登錄失敗次數(shù)，導(dǎo)致站點(diǎn)存在被密碼爆破的風(fēng)險。通過特殊配置或設(shè)計(jì)的程序可以通過無限次數(shù)破解密碼的方式非法控制賬號。

漏洞詳情
在 Discuz! X3.2 Release 20141225 版本以及同期發(fā)布的 UCenter 軟件中，開發(fā)了一個部分生效的 “允許用戶登錄失敗次數(shù)” 功能，但此功能未完整開發(fā)之后僅僅注釋了界面上的功能項(xiàng)，后續(xù)版本也沒有繼續(xù)開發(fā)，導(dǎo)致部分站點(diǎn)的 login_failedtime 在 UCenter 后臺基本設(shè)置處保存時被設(shè)置成 0 ，而由于不同功能項(xiàng)對 0 的處理方式有差異導(dǎo)致系統(tǒng)內(nèi)對此情況的處理手段是不記錄登錄失敗次數(shù)而在提示信息中固定返回 4 次，導(dǎo)致漏洞發(fā)生，所以如果你的網(wǎng)站輸錯密碼不管多多少次都提示還可以嘗試4次，那么請立即更新修復(fù)。

Discuz! X安裝時，默認(rèn)不會觸發(fā)這個漏洞，只有當(dāng)管理員進(jìn)入UCenter，設(shè)置保存UCenter設(shè)置時，才會導(dǎo)致 login_failedtime  被設(shè)置為0，從而觸發(fā)漏洞。

風(fēng)險等級
高

影響版本

Discuz! X 2014年12月25日 至 2021年6月28日 之間的所有版本（X3.2、X3.3、X3.4、X3.5）

單獨(dú)使用UCenter的用戶請參照上述日期比對文件

您可以到應(yīng)用中心下載“2021年6月新漏洞專項(xiàng)檢測修復(fù)工具”，查看自己的站點(diǎn)是否已受到了影響。

安全版本

2021-06-29 及以后的 Discuz! X 和 UCenter

修復(fù)建議

1. 目前官方已修復(fù)該漏洞，建議受影響的用戶盡快升級至最新版本：https://gitee.com/Discuz/DiscuzX/attach_files
2. 無法升級最新版本的用戶，可以先運(yùn)行“2021年6月新漏洞專項(xiàng)檢測修復(fù)工具”修復(fù)出錯的數(shù)據(jù)，并參考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站點(diǎn)文件。
【備注】：建議您在升級前做好數(shù)據(jù)備份工作，測試并評估業(yè)務(wù)運(yùn)行狀況，避免出現(xiàn)意外

更詳細(xì)的內(nèi)容請閱讀下方的 Discuz! X 安全公告 進(jìn)行了解。

dashen

附件1：安全公告全文

Discuz! X 安全公告

【2021】第 1 號

2021 年 06 月 29 日

問題簡述

現(xiàn)已發(fā)現(xiàn)一個高風(fēng)險安全問題，可能會導(dǎo)致部分站點(diǎn)無法正確統(tǒng)計(jì)登錄失敗次數(shù)，導(dǎo)致站點(diǎn)存在被密碼爆破的風(fēng)險。通過特殊配置或設(shè)計(jì)的程序可以通過無限次數(shù)破解密碼的方式非法控制賬號。

請各位各位站長、站點(diǎn)管理運(yùn)維人員盡快推動所涉及軟件的版本更新，如無法升級也請參考相關(guān)指導(dǎo)對軟件進(jìn)行修補(bǔ)，保障站點(diǎn)安全。

由于本安全問題給您造成的不便我們深感歉意，并感謝各位站長、站點(diǎn)管理運(yùn)維人員對我們的理解與支持。

受影響的軟件版本

UCenter 1.6.0 在 2014 年 12 月 25 日至 2021 年 06 月 27 日間發(fā)布的全部版本

UCenter 1.7.0 截至 2021 年 6 月 28 日的全部每日構(gòu)建版本和開發(fā)版本

Discuz! X3.2 Release 20141225 以及更高版本

Discuz! X3.3 全部已發(fā)布的 Release 版本

Discuz! X3.4 Release 20210520 以及更低版本

Discuz! X3.4 截至 2021 年 6 月 27 日的全部每日構(gòu)建版本和開發(fā)版本

Discuz! X3.5 截至 2021 年 6 月 28 日的全部每日構(gòu)建版本和開發(fā)版本

上述軟件中只有 UCenter 1.6.0 在 2021 年 05 月 20 日發(fā)布的版本以及 Discuz! X3.4 Release 20210520 處于非 EOL 狀態(tài)，其他涉及的 Release 版本均已 EOL ，不再進(jìn)行維護(hù)。

常見問題解答

Q: 對于未涉及到的軟件或版本是否應(yīng)該繼續(xù)運(yùn)行？

A: 未涉及到的軟件或版本 ( 包括但不限于 Discuz! X <= 3.2 ， UCenter <= 1.6.0 ， Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系，但不含 Discuz! Q ) 雖然不受本安全問題影響，但相關(guān)軟件均已處于 EOL 狀態(tài)，不再進(jìn)行維護(hù)，且近期已發(fā)現(xiàn)多個涉及相關(guān)軟件的中低風(fēng)險安全問題并已在最新版本給予修復(fù)。同時 Discuz! X3.4 近期也提供了大量新功能改進(jìn)、用戶體驗(yàn)提升、安全性提升、 BUG 修復(fù)等，包括但不限于應(yīng)對內(nèi)容安全相關(guān)問題進(jìn)行的內(nèi)容重新審核功能以及內(nèi)容安全功能兜底提升，應(yīng)對 FLASH 停止維護(hù)所提供的 HTML5 附件上傳、HTML5 多媒體播放功能，以及對 HTTPS 支持等功能進(jìn)行優(yōu)化等。并且 Discuz! X3.4 具有較好的環(huán)境兼容性，可以同時支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本，兼容絕大多數(shù)原 X3 之后發(fā)布的插件和模板。因此如您暫未有停止運(yùn)營計(jì)劃，建議您安排版本升級，以最大限度保障站點(diǎn)安全以及提高用戶體驗(yàn)。

Q: 對于此安全漏洞建議如何處理？

A: 本故障涉及 Discuz! X3.2 Release 20141225 以及更高版本，相關(guān)站點(diǎn)存在被密碼爆破的風(fēng)險，需要盡快升級解決問題。在此建議您升級到 Discuz! X3.4 Release 20210629 以及其配套的 UCenter 軟件。相關(guān)軟件可以從 https://gitee.com/Discuz/DiscuzX 下載。

Q: 如何進(jìn)行標(biāo)準(zhǔn)升級操作？

A: 如您使用的是 Discuz! X3.2 或更高版本，請使用 Discuz! X3.4 Release 20210629 對應(yīng)語言對應(yīng)編碼的軟件覆蓋您當(dāng)前使用的軟件。如 UCenter 不處于默認(rèn)目錄下或處于不同服務(wù)器下，您需要對 UCenter 也進(jìn)行覆蓋操作。雖然代碼中進(jìn)行了重映射的規(guī)避措施，但仍建議站點(diǎn)到 UCenter 后臺基本設(shè)置處修改本設(shè)置為合理值，隨后查看通知列表所涉及站點(diǎn)的 `uc_client/data/cache/settings.php` 緩存文件中的 `login_failedtime` 項(xiàng)是否為大于 0 的值以及其他選項(xiàng)是否正確，以免出現(xiàn)其他功能異常。

Q: 如果無法進(jìn)行版本升級該如何處理？

A: 可以到應(yīng)用中心下載 “ 2021年6月新漏洞專項(xiàng)檢測修復(fù)工具 ” ，查看自己的站點(diǎn)是否已受到了影響以及提供臨時緩解措施。如希望通過覆蓋函數(shù)方式解決問題，也請?jiān)诟采w https://gitee.com/Discuz/DiscuzX/pulls/1092 所涉及函數(shù)后參考 https://gitee.com/Discuz/DiscuzX/pulls/675 以及 https://gitee.com/Discuz/DiscuzX/pulls/628 代碼更新站點(diǎn) UCenter 通信相關(guān)部分函數(shù)代碼，避免新配置無法下發(fā)。另外也可以參考其他安全相關(guān) commit 對其他安全問題進(jìn)行加固。

技術(shù)細(xì)節(jié)

在 Discuz! X3.2 Release 20141225 版本以及同期發(fā)布的 UCenter 軟件中（ 版本代碼內(nèi)容后附 ），開發(fā)了一個部分生效的 “允許用戶登錄失敗次數(shù)” 功能，但此功能未完整開發(fā)之后僅僅注釋了界面上的功能項(xiàng)，后續(xù)版本也沒有繼續(xù)開發(fā)。

注釋功能項(xiàng)后會導(dǎo)致部分站點(diǎn)的 `login_failedtime` 在 UCenter 后臺基本設(shè)置處保存時被設(shè)置成 0 ，而由于不同功能項(xiàng)對 0 的處理方式有差異導(dǎo)致系統(tǒng)內(nèi)對此情況的處理手段是不記錄登錄失敗次數(shù)而在提示信息中固定返回 4 次，導(dǎo)致 Bug 發(fā)生。

此版本通過對 Discuz! X 以及 UCenter 、 UC_Client 進(jìn)行修改，完成該功能點(diǎn)的開發(fā)，同時新增重映射規(guī)避措施以解決相關(guān)問題。

版本代碼內(nèi)容參見: https://gitee.com/popcorner/dzhi ... ffba32f7b0f356d0d56

補(bǔ)丁代碼詳見: https://gitee.com/Discuz/DiscuzX/pulls/1092

安全提示

我們強(qiáng)烈建議您使用仍在相關(guān)軟件開發(fā)團(tuán)隊(duì)支持期內(nèi)的操作系統(tǒng)、 Web 服務(wù)器、 PHP 、數(shù)據(jù)庫、內(nèi)存緩存等軟件，超出支持期的軟件可能會對您的站點(diǎn)帶來未知的安全隱患。

Discuz! X 以及 UCenter 軟件當(dāng)前 Release 版本發(fā)布規(guī)則為當(dāng)前大版本下有新的 Release 版本發(fā)布時，之前的 Release 版本將自動處于 EOL 狀態(tài)，不再進(jìn)行維護(hù)，請站點(diǎn)在新版本發(fā)布后主動更新到新的 Release 版本。

請各位站長、站點(diǎn)管理運(yùn)維人員以及插件、模板開發(fā)者保持對 Discuz! X 官方站 https://www.discuz.net/ 以及 Discuz! X 官方 Git 倉庫 https://gitee.com/Discuz/DiscuzX 的關(guān)注，以便在安全漏洞發(fā)生時可進(jìn)行修補(bǔ)，讓自己的站點(diǎn)時刻保持最安全的狀態(tài)！

Discuz! X 社區(qū)
2021 年 06 月 29 日

neol

贊一下，Discuz! X 社區(qū)  開發(fā)團(tuán)隊(duì)的反應(yīng)速度，和效率。

立即去更新了！

edee134

您的站點(diǎn)程序中未發(fā)現(xiàn)修復(fù)漏洞的代碼，請及時修復(fù)！直接升級至Discuz!最新版本即可修復(fù)問題，您也可以參考官方文檔手動修復(fù)。
暫時沒有時間修復(fù)的，可以使用本工具的修復(fù)數(shù)據(jù)功能一鍵修復(fù)存在問題的數(shù)據(jù)（但不能從根本解決問題）

您的站點(diǎn)配置目前沒有受到影響。

螞蟻?zhàn)?/a>

感謝分享，支持一下。

a1241328428

UCenter的范例程序包啥時候能更新一下，還是用的php5.x的語法，mysql連接都是報錯的

qwexiamen

謝謝分享