紧急修补Discuz!高危零日漏洞的通知

admin

近日国家互联网应急中心发现一款流行论坛软件系统Discuz!存在高危零日漏洞，此漏洞不会对虚拟主机系统造成影响，直接影响的是Discuz!论坛软件，已对国内10余万网站论坛构成严重威胁，若您正在使用Discuz!论坛软件（7.1和7.2版本），请立即按下文中提供的解决方案进行修复：

　　漏洞描述：
　　Discuz!是一款国内非常流行的社区论坛软件系统。 Discuz!7.1与7.2版本的showmessage函数中eval执行的参数未初始化，远程攻击者可以借此以WEB权限执行任意PHP代码。网上已经出现针对漏洞的攻击行为，据悉目前大量使用该版本Discuz!软件的用户受到该漏洞影响。Discuz!厂商已提供了修补方法，建议用户尽快采取以下措施避免受到漏洞影响。

修补方法:

1. 根据您的版本下载补丁包

7.1 用户 http://download2.comsenz.com/Dis ... ADE_TO_20100110.zip
7.2 用户 http://download2.comsenz.com/Dis ... ADE_TO_20100110.zip

2. 解压缩文件
3. 上传upload目录中的所有文件到您的论坛, 覆盖原有程序
4. 修复完成

注意事项:
以下目录中包含有相应版本的以往的补丁文件, 如果您尚未修复, 您应当按照补丁发布的时间, 依次覆盖修复
http://download2.comsenz.com/Discuz/patch/7.1/
http://download2.comsenz.com/Discuz/patch/7.2/

======================================================
本补丁为高级别安全更新, 请使用相应版本的用户尽快升级
======================================================