开源版安全漏洞的紧急通知！

sanshi

注：此漏洞在v4.2.3中已修复，升级后无需改动！






今天晚上，网友 @Happy you and me 指出了开源版的一个安全漏洞：http://www.cnblogs.com/dotnet-org-cn/p/5089924.html


FineUI（开源版）紧急修复（v3.3.0 - v4.2.2）！


1. 如果已发布的项目中使用了 FineUI（开源版）：

请立即删除 Web.config 中的如下配置项：

<httpHandlers>

        <add verb="GET" path="res.axd" type="FineUI.ResourceHandler, FineUI" validate="false" />

</httpHandlers>

否则，恶意用户可以利用此漏洞下载项目中的任何文件（包括Web.config、DLL），从而导致密码泄露，服务器被攻击！

2. 如果正在使用 FineUI（开源版）进行开发，无需惊慌，最近会发布 v4.2.3 修复这个漏洞。



FineUI（专业版）没有漏洞，不要做任何更改！






------------------
FineUI（专业版） --  最好用的 ASP.NET 控件库（http://fineui.com/pro）

合肥三生石上软件有限公司

sanshi

狐狸猫 发表于 2015-12-30 21:44
问下 我现在还是3.3.3版本 受影响吗 该怎么处理？

v3.x 最后一个版本和 v4.x 一样，做相同处理即可！

sanshi

狐狸猫 发表于 2015-12-30 21:52
我用appbox2.0 就是3.x的版本测了一下 去掉以后 菜单的图标都不见了 怎么处理 ...

版本必须 >=v3.3.0，否则请先升级到 v3.x 的最后一个版本

sanshi

snooze 发表于 2016-3-1 23:12
我从这里下载的appbox里fineui版本是3.2.2，已升级到3.3.3，去掉楼主提示的漏洞语句后，也出现菜单图标都 ...

那个配置项在 3.3.0 以上版本中已经没用了，不会影响现有系统。

看下树控件的 EnableIcons 是否设置为 false ？ 给点截图

sanshi

snooze 发表于 2016-3-3 21:12
EnableIcons没有设置为false，项目清理及重新生成后，左侧菜单图标，菜单模块管理里，新增及编辑菜单时， ...

F12看下图片请求的路径，一般是 icon 目录不存在或者路径不对。

sanshi

snooze 发表于 2016-3-4 16:42
不显示的图标路径都是"~/res.axd?icon=TagGreen"这种形式的，是不是和删除的漏洞配置项有关。 ...

如果是FineUI控件的 Icon=TagGreen，则不会在客户端生成这样的代码，请确认？！