Discuz! X2 R20110817补丁包

管理员

(本补丁包含目前已发现的安全问题的修复, 请大家尽快更新, 以免站点遭受攻击)

下载

1. 完整安装包下载 (详见一楼)

2. 补丁包下载

简体中文 GBK

http://download.comsenz.com/DiscuzX/2.0/patch/x2update20110817_sc_gbk.zip

繁体中文 BIG5

http://download.comsenz.com/DiscuzX/2.0/patch/x2update20110817_tc_big5.zip

简体 UTF8

http://download.comsenz.com/DiscuzX/2.0/patch/x2update20110817_sc_utf8.zip

繁体 UTF8

http://download.comsenz.com/DiscuzX/2.0/patch/x2update20110817_tc_utf8.zip

升级方法

1. 根据原有的语言版本下载升级包

2. 解压缩, 将 upload目录中的文件上传至服务器, 覆盖旧文件

3. 使用创始人身份进入后台更新缓存

备注: 为了保障您的论坛更加安全, 请检查您的 config/config_global.php 文件
A 查找

1. $_config['security']['querysafe']['status'] = 1;

复制代码

如果没有找到, 或者 $_config['security']['querysafe']['status'] =   其他值, 请务必改为1,
此功能将会为启动漏洞防御体系, 当出现未知SQL漏洞的时候, 可以将漏洞危害降至最低.

B 增加新的防御参数, 预防最近的SQL攻击代码. 20110817 以后新装的论坛无需进行此操作
在 config/config_global.php 文件中查找代码

1. $_config['security']['querysafe']['daction']['3'] = '(select';

复制代码

在下面新增代码

1. $_config['security']['querysafe']['daction'][] = 'unionall';
   
2. $_config['security']['querysafe']['daction'][] = 'uniondistinct';

复制代码

查找

1. $_config['security']['querysafe']['afullnote']        = 1;

复制代码

替换为

1. $_config['security']['querysafe']['afullnote']        = 0;

复制代码

更新记录

ADD QQ互联 - 微博签名档
ADD 腾讯分析技巧提示文字更新
ADD 腾讯分析后台图标设置页面调整，腾讯分析前台JS增加新统计参数
FIX 分类信息select框，在编辑帖子状态下，会多出一个select 问题
FIX 更新插件以及版本号
FIX 统一后台menu的获取云服务列表方法
FIX 修改搜索变量进行htmlspecialchars
FIX 将版块列表、用户组权限等信息缓存起来
FIX 修复搜索状态字段判断没有更新的问题
FIX 图片延时加载设置
FIX 移除搜索参数里传递的openid
FIX 附件管理程序错误
FIX 游客允许访问漫游首页，但无权操作
FIX 帖子高级搜索搜不到的BUG
FIX 关闭认证时允许修改相关的资料项
FIX 空间查看数字段不正确
FIX 修正由于用户在后台填写大写的邮箱，校验失败的问题
FIX 限定当选择框中的字符串不为字母时，返回空值
FIX 24小时评分限制的BUG
FIX 水印后图片大小错误
FIX 修复文章管理中模块的推送权限问题
FIX 修正上传图片需要审核时直接写入数据库的BUG
FIX 修正UTF-8下面提示的信息没有策略名称
FIX 修正云平台API常量判断错误BUG
FIX 一个模块在一个页面中多次使用时的sql错误
FIX 去除自动交易结束的代码
FIX 修复抢楼规则*号不个位数楼层的问题（如*2）
FIX 修复 欢迎新会员会员名转义
FIX 翻页时主题分类的问题
FIX [img]和[flash]中url被自动解析问题修改
FIX 全并主题后无法编辑的问题
FIX 抢楼帖编辑时会锁上的问题
FIX 修正允许完全踢除栏目分类
FIX 创始人进入后台的标志位
FIX SCRIPT_NAME 的获取方法
FIX 修正放弃任务的BUG造成可以放弃已完成的任务达到重复领奖
FIX DIY模块调用分类信息数据时出现Array
FIX 家园被关闭时跳转地址错误
FIX 修正迁移云平台程序移值的BUG， 及优化代码
FIX 可选名称显示位置错误
FIX 验证码显示问题
FIX 清除common_modrate表中无效的回帖记录
FIX 提示审核数量不包含已忽略记录
FIX 活动不支持file类型的用户栏目字段
FIX 后台附件管理搜索天数
FIX 版块添加主题分类
FIX 校验dreferer的域名，防止XSS注入
FIX 修复模块权限：可推送数据且不需要审核的权限既有管理数据的功能，但没有管理属性的功能
FIX 修复管理员在前台管理中只能查看自己的文章
FIX 修改支付宝签约地址
FIX 因插件的模板导致分区自定义风格失效
FIX 管理人员字段标记为不正确的问题
FIX 在图片宽度为0的时候，使用缩略方式，使用图片的默认宽度，不强制指定图片的宽度
FIX 修正跳楼和回帖置顶  与倒序看帖之间的问题
FIX 修正站点关闭状态下，用户可以注册的问题
FIX 更新设置IP的方法不判断是否开启云平台
FIX 修正部分隐藏的安全问题
FIX 修改默认安全设置, 禁止 msyql 当中使用注释

依兰网

官方怎么没有说明呢？

长沙论坛

此贴必火 长沙地铁www.cechangsha.com 留名 前排 哦也

小白脸

这是最新出来的漏洞？

henmeili

很好的 支持 多谢了

DZ366

难怪很多X2的论坛都升级了......