FineUI 官方论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

本论坛已关闭(禁止注册、发帖和回复)
请移步 三石和他的朋友们

FineUI首页 WebForms - MVC & Core - JavaScript 常见问题 - QQ群 - 十周年征文活动

FineUI(开源版) 下载源代码 - 下载空项目 - 获取ExtJS - 文档 在线示例 - 版本更新 - 捐赠作者 - 教程

升级到 ASP.NET Core 3.1,快、快、快! 全新ASP.NET Core,比WebForms还简单! 欢迎加入【三石和他的朋友们】(基础版下载)

搜索
查看: 30399|回复: 17
打印 上一主题 下一主题

开源版安全漏洞的紧急通知!

[复制链接]
跳转到指定楼层
楼主
发表于 2015-12-30 21:08:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式


注:此漏洞在v4.2.3中已修复,升级后无需改动!






今天晚上,网友 @Happy you and me 指出了开源版的一个安全漏洞:http://www.cnblogs.com/dotnet-org-cn/p/5089924.html


FineUI(开源版)紧急修复(v3.3.0 - v4.2.2)!


1. 如果已发布的项目中使用了 FineUI(开源版):
请立即删除 Web.config 中的如下配置项:
<httpHandlers>
        <add verb="GET" path="res.axd" type="FineUI.ResourceHandler, FineUI" validate="false" />
</httpHandlers>
否则,恶意用户可以利用此漏洞下载项目中的任何文件(包括Web.config、DLL),从而导致密码泄露,服务器被攻击!

2. 如果正在使用 FineUI(开源版)进行开发,无需惊慌,最近会发布 v4.2.3 修复这个漏洞。



FineUI(专业版)没有漏洞,不要做任何更改!






------------------
FineUI(专业版) --  最好用的 ASP.NET 控件库(http://fineui.com/pro

合肥三生石上软件有限公司







沙发
发表于 2015-12-30 21:16:07 | 只看该作者
收到,感谢LZ
板凳
发表于 2015-12-30 21:22:24 | 只看该作者
只为了个板凳儿。。。。三石辛苦了!
地板
发表于 2015-12-30 21:44:34 | 只看该作者
问下 我现在还是3.3.3版本 受影响吗 该怎么处理?
5#
 楼主| 发表于 2015-12-30 21:46:06 | 只看该作者
狐狸猫 发表于 2015-12-30 21:44
问下 我现在还是3.3.3版本 受影响吗 该怎么处理?

v3.x 最后一个版本和 v4.x 一样,做相同处理即可!
6#
发表于 2015-12-30 21:52:11 | 只看该作者
sanshi 发表于 2015-12-30 21:46
v3.x 最后一个版本和 v4.x 一样,做相同处理即可!

我用appbox2.0 就是3.x的版本测了一下 去掉以后 菜单的图标都不见了 怎么处理
7#
 楼主| 发表于 2015-12-30 22:04:05 | 只看该作者
狐狸猫 发表于 2015-12-30 21:52
我用appbox2.0 就是3.x的版本测了一下 去掉以后 菜单的图标都不见了 怎么处理 ...

版本必须 >=v3.3.0,否则请先升级到 v3.x 的最后一个版本
8#
发表于 2015-12-31 04:30:17 | 只看该作者
服务器上装360主机卫士,直接屏蔽了这个URL
9#
发表于 2015-12-31 09:16:00 | 只看该作者

收到,感谢   
10#
发表于 2015-12-31 14:20:27 | 只看该作者
<system.webServer>里的要不要删?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|FineUI 官方论坛 ( 皖ICP备2021006167号-1 )

GMT+8, 2024-11-23 11:22 , Processed in 0.049416 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表