消息來源:
http://h.root.tw/modules/news/article.php?storyid=29
ADODB 漏洞, 請儘速修補.
影響: SFS3 學務系統/ X 學務系統 / Lifetype(舊稱 plog)/ PostNuke /Moodle
只要有使用 ADODB 元件的程式系統(不限 Linux 平台!!!! )... B2D Server 1231 refine4 及之前的版本.
修補工具下載:
ftp://ftp.tnc.edu.tw/pub/SEC/s3-patch-adodb.tgz
修補工具簽章檔:
ftp://ftp.tnc.edu.tw/pub/SEC/s3-patch-adodb.tgz.asc
提供此工具是因為它有用, 但沒有任何擔保!
使用前您應自行評估風險, 若有任何損害, 本人不負任何責任!
執行 ./s3chk 及 ./s3patch 時, 它會詢問您是否願意接受
這個協議?
如下所示:
!!!!! NO WARRANTY !!!!!
We do not accept responsibility for any interference
or damage to your own computer system.
Accept ? (answer 'y' or 'n')
您必須回答 y , 才能執行這二支程式.
OLS3
====
說明:
ADODB 是 Active Data Objects Data Base 的簡稱,
它是一種 PHP 存取資料庫的函式元件
不幸的是在 V4.7 之前, 它存在漏洞.
影響: 只要有使用 ADODB 的程式組合, 都要修補,
比如:
1. Lifetype(舊稱Plog)
2. SFS3 學務系統
3. X 學務系統
4. 有用到 ADODB 的系統, 不限 Linux/BSD/Windows 平台,
任何平台都受影響!
這個工具用來幫您檢查 ADODB 的漏洞, 並幫您修補.
它會由根目錄開始, 把您的檔案系統全掃過一遍.
本修補工具中的 adodb 4.70 為
OLS3 修改過的支援多重 DB 的安全版本.
若您不想裝這個版本, 也可用原始站台的版本,
只要覆蓋掉 adodb470-2sv.tgz 即可.
關於 ADODB, 請參考:
http://linux.tnc.edu.tw/techdoc/adodb/book1.html
******** 請先檢查本工具的完整性 ****************************
由於本工具可能經過散播, 若有心人從中做手腳, 再散佈出去,
後果堪慮!
因此, 請您務必先確認這個工具的確是由 OLS3 提供的。
可按以下方法來進行:
1. 匯入 OLS3 的公鑰:
下載: wget http://ols3.lxer.idv.tw/aboutMe/ols3.gpg-public
gpg --import ols3.gpg-public
2. 檢驗簽章:
gpg --verify s3-patch-adodb.tgz.asc
若出現:
gpg: 完好的簽章來自於 "OLS3@B2D (MMM)"
gpg: 警告: 這把金鑰並非以受信任的簽章所認證!
gpg: 沒有證據指出這個簽章屬於這個持有者.
主鑰指紋: E7D3 DF03 1EA4 BE7F DB02 F9EE 2BBD A8A7 F1B9 5F18
則表示簽章完好.
若出現:
gpg: *損壞* 的簽章來自於 "OLS3@B2D (MMM)"
則表示該檔有被人修改過, 此時, 請放棄執行.
********* 使用方法 *******************************************
一. Linux/BSD 平台:
請務必以 root 權限來執行!
1. 解壓:
tar xvzf s3-patch-adodb.tgz
cd s3-patch-adodb
2. 執行檢查程式 s3chk
./s3chk
若沒有出現任何 ADODB 的目錄, 表示您的系統中沒有安裝 ADODB.
3. 執行修補程式 s3patch
./s3patch
4. 再檢查一下是否修補完成?
./s3chk
注意!
*** 若您確知 adodb 目錄的位置, 則只要把 adodb 4.70
直接解壓覆蓋掉舊檔, 亦可. 若不知, 建議用 s3chk 來
掃一次, 會令人較為安心!
二. Windows 的使用者, 請把 adodb470-2sv.tgz 解壓, 覆蓋過舊檔即可
http://h.root.tw/modules/news/article.php?storyid=29
ADODB 漏洞, 請儘速修補.
影響: SFS3 學務系統/ X 學務系統 / Lifetype(舊稱 plog)/ PostNuke /Moodle
只要有使用 ADODB 元件的程式系統(不限 Linux 平台!!!! )... B2D Server 1231 refine4 及之前的版本.
修補工具下載:
ftp://ftp.tnc.edu.tw/pub/SEC/s3-patch-adodb.tgz
修補工具簽章檔:
ftp://ftp.tnc.edu.tw/pub/SEC/s3-patch-adodb.tgz.asc
提供此工具是因為它有用, 但沒有任何擔保!
使用前您應自行評估風險, 若有任何損害, 本人不負任何責任!
執行 ./s3chk 及 ./s3patch 時, 它會詢問您是否願意接受
這個協議?
如下所示:
!!!!! NO WARRANTY !!!!!
We do not accept responsibility for any interference
or damage to your own computer system.
Accept ? (answer 'y' or 'n')
您必須回答 y , 才能執行這二支程式.
OLS3
====
說明:
ADODB 是 Active Data Objects Data Base 的簡稱,
它是一種 PHP 存取資料庫的函式元件
不幸的是在 V4.7 之前, 它存在漏洞.
影響: 只要有使用 ADODB 的程式組合, 都要修補,
比如:
1. Lifetype(舊稱Plog)
2. SFS3 學務系統
3. X 學務系統
4. 有用到 ADODB 的系統, 不限 Linux/BSD/Windows 平台,
任何平台都受影響!
這個工具用來幫您檢查 ADODB 的漏洞, 並幫您修補.
它會由根目錄開始, 把您的檔案系統全掃過一遍.
本修補工具中的 adodb 4.70 為
OLS3 修改過的支援多重 DB 的安全版本.
若您不想裝這個版本, 也可用原始站台的版本,
只要覆蓋掉 adodb470-2sv.tgz 即可.
關於 ADODB, 請參考:
http://linux.tnc.edu.tw/techdoc/adodb/book1.html
******** 請先檢查本工具的完整性 ****************************
由於本工具可能經過散播, 若有心人從中做手腳, 再散佈出去,
後果堪慮!
因此, 請您務必先確認這個工具的確是由 OLS3 提供的。
可按以下方法來進行:
1. 匯入 OLS3 的公鑰:
下載: wget http://ols3.lxer.idv.tw/aboutMe/ols3.gpg-public
gpg --import ols3.gpg-public
2. 檢驗簽章:
gpg --verify s3-patch-adodb.tgz.asc
若出現:
gpg: 完好的簽章來自於 "OLS3@B2D (MMM)
gpg: 警告: 這把金鑰並非以受信任的簽章所認證!
gpg: 沒有證據指出這個簽章屬於這個持有者.
主鑰指紋: E7D3 DF03 1EA4 BE7F DB02 F9EE 2BBD A8A7 F1B9 5F18
則表示簽章完好.
若出現:
gpg: *損壞* 的簽章來自於 "OLS3@B2D (MMM)
則表示該檔有被人修改過, 此時, 請放棄執行.
********* 使用方法 *******************************************
一. Linux/BSD 平台:
請務必以 root 權限來執行!
1. 解壓:
tar xvzf s3-patch-adodb.tgz
cd s3-patch-adodb
2. 執行檢查程式 s3chk
./s3chk
若沒有出現任何 ADODB 的目錄, 表示您的系統中沒有安裝 ADODB.
3. 執行修補程式 s3patch
./s3patch
4. 再檢查一下是否修補完成?
./s3chk
注意!
*** 若您確知 adodb 目錄的位置, 則只要把 adodb 4.70
直接解壓覆蓋掉舊檔, 亦可. 若不知, 建議用 s3chk 來
掃一次, 會令人較為安心!
二. Windows 的使用者, 請把 adodb470-2sv.tgz 解壓, 覆蓋過舊檔即可
全站熱搜
留言列表
我的部落格蒐藏 
