港交所網(wǎng)站被黑事件尚未平息，一個(gè)影響更為廣泛的DedeCMS系統(tǒng)高危漏洞又被黑客捅了出來(lái)。公開(kāi)數(shù)據(jù)顯示，使用DedeCMS系統(tǒng)的國(guó)內(nèi)互聯(lián)網(wǎng)站接近40萬(wàn)家，覆蓋企業(yè)、教育機(jī)構(gòu)、數(shù)字傳媒等各個(gè)領(lǐng)域。截至發(fā)稿前，DedeCMS仍未發(fā)布官方補(bǔ)丁修復(fù)漏洞，為此360網(wǎng)站安全檢測(cè)平臺(tái)（webscan.#）已緊急提供了臨時(shí)解決方案，提醒廣大網(wǎng)站站長(zhǎng)盡快參考方案修復(fù)漏洞。

DedeCMS是國(guó)內(nèi)第一個(gè)開(kāi)源的網(wǎng)站內(nèi)容管理系統(tǒng)，在CMS市場(chǎng)受到大批網(wǎng)站站長(zhǎng)的歡迎。不過(guò)最近有技術(shù)論壇發(fā)現(xiàn)，該系統(tǒng)的全局變量初始化存在漏洞，可能導(dǎo)致黑客利用漏洞侵入使用DedeCMS的網(wǎng)站服務(wù)器，造成網(wǎng)站用戶(hù)數(shù)據(jù)泄露、頁(yè)面被惡意篡改等嚴(yán)重后果。

據(jù)此前360安全中心發(fā)布的《互聯(lián)網(wǎng)安全報(bào)告》顯示：今年以來(lái)，黑客攻擊網(wǎng)站服務(wù)器，竊取用戶(hù)數(shù)據(jù)造成的危害已經(jīng)超過(guò)盜號(hào)木馬。很多網(wǎng)民即便電腦沒(méi)有中木馬，賬號(hào)和密碼也會(huì)由于網(wǎng)站漏洞而被黑客竊取。因此，DedeCMS漏洞不僅關(guān)系著數(shù)十萬(wàn)家網(wǎng)站的服務(wù)器安全，對(duì)網(wǎng)民的切身利益也造成了間接影響。

360網(wǎng)站安全檢測(cè)平臺(tái)提醒廣大站長(zhǎng)，該平臺(tái)已經(jīng)第一時(shí)間支持DedeCMS最新漏洞的檢測(cè)，使用DedeCMS開(kāi)發(fā)的網(wǎng)站站長(zhǎng)可登錄webscan.#免費(fèi)檢測(cè)。一旦發(fā)現(xiàn)網(wǎng)站存在漏洞，在DedeCMS官方補(bǔ)丁發(fā)布之前，應(yīng)盡快按照如下應(yīng)急方案進(jìn)行處理（以DedeCMS 5.6為例）：

在DedeCMS系統(tǒng)的/include/common.inc.php中，找到注冊(cè)變量的代碼：

foreach(Array('_GET','_POST','_COOKIE') as $_request)  
{  
         foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);  
}  
將其修改為：  
foreach(Array('_GET','_POST','_COOKIE') as $_request)  
{  
         foreach($$_request as $_k => $_v) {  
                    if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){  
                            exit('Request var not allow!');  
                   }  
                    ${$_k} = _RunMagicQuotes($_v);  
    }  
}  

【編輯推薦】

1. 病毒防御：360殺毒“3D防御”效果實(shí)測(cè)
2. 三種微博病毒威脅行為解析
3. 金山毒霸聲明：邀請(qǐng)360共同推動(dòng)制定殺軟性能評(píng)測(cè)標(biāo)準(zhǔn)
4. 微軟補(bǔ)丁星期二：修復(fù)關(guān)鍵IE和Windows DNS漏洞
5. Hyper-V安全威脅靠邊站 安全配置不難辦