代码拉取完成,页面将自动刷新
1276
修复 邮件认证入口 CSRF 以及时间限制可绕过的安全问题
已合并
在此向漏洞提供者 @Zapic 表示感谢,也希望更多的安全人员加入到维护 Discuz! X 程序安全的工作中来。
本 PR 已履行了负责任的漏洞披露程序,在公开前联系 @湖中沉 @DiscuzX 并进行了预测试,感谢上述人员为本修复方案提供的建议以及详尽的测试工作。
描述此 Pull Request 的变更
修复 邮件认证入口 CSRF 以及时间限制可绕过的安全问题
描述变更理由
Discuz! 安全中心现已发现一个低风险安全问题,本安全问题将导致站点邮件功能被滥用导致发送不受用户欢迎的邮件,同时导致用户电子邮箱存在被轰炸的风险。
请各位各位站长、站点管理运维人员尽快推动所涉及软件的版本更新,如无法升级也请参考相关指导对软件进行修补,保障站点安全。
由于本安全问题给您造成的不便我们深感歉意,并感谢各位站长、站点管理运维人员对我们的理解与支持。
在此向漏洞提供者 @Zapic 表示感谢,也希望更多的安全人员加入到维护 Discuz! X 程序安全的工作中来。
受影响的软件版本
Discuz! X1 - X3.3 全部已发布的 Release 版本
Discuz! X3.4 Release 20210817 以及更低版本
Discuz! X3.4 截至 2021 年 09 月 14 日的全部每日构建版本和开发版本
Discuz! X3.5 截至 2021 年 09 月 14 日的全部每日构建版本和开发版本
上述软件中只有 Discuz! X3.4 Release 20210816 处于非 EOL 状态,其他涉及的 Release 版本均已 EOL ,不再进行维护。
常见问题解答
Q: 对于未涉及到的软件或版本是否应该继续运行?
A: 未涉及到的软件或版本 ( 包括但不限于 Discuz! X / Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系,但不含 Discuz! Q ) 软件均已处于 EOL 状态,不再进行维护,且近期已发现多个涉及相关软件的中低风险安全问题并已在最新版本给予修复。同时 Discuz! X3.4 近期也提供了大量新功能改进、用户体验提升、安全性提升、 BUG 修复等,包括但不限于应对内容安全相关问题进行的内容重新审核功能以及内容安全功能兜底提升,应对 FLASH 停止维护所提供的 HTML5 附件上传、HTML5 多媒体播放功能,以及对 HTTPS 支持等功能进行优化等。并且 Discuz! X3.4 具有较好的环境兼容性,可以同时支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本,兼容绝大多数原 X3 之后发布的插件和模板。因此如您暂未有停止运营计划,建议您安排版本升级,以最大限度保障站点安全以及提高用户体验。
Q: 对于此安全漏洞建议如何处理?
A: 本故障涉及 Discuz! X1 - X3.4 Release 20210816 版本,相关站点存在被盗取用户账号的风险,需要尽快升级解决问题。在此建议您升级到 Discuz! X3.4 Release 20210914。相关软件可以从 https://gitee.com/Discuz/DiscuzX 下载。
Q: 如何进行标准升级操作?
A: 如您使用的是 Discuz! X3.2 或更高版本,请使用 Discuz! X3.4 Release 20210914 对应语言对应编码的软件覆盖您当前使用的软件。
Q: 如果无法进行版本升级该如何处理?
A: 如站点是涉及到的软件版本且无法进行版本升级,也请按照本提交以及其他相关代码修改对站点进行修复。另外也可以参考其他安全相关 commit 对其他安全问题进行加固。
技术细节
在 Discuz! X 重构时,开发了一个通过链接重发激活邮件功能,但此功能开发时未对请求做 FORMHASH 校验,因此可以通过 IMG 等方式调用此地址实现自动重发激活邮件轰炸用户邮箱。
安全提示
我们强烈建议您使用仍在相关软件开发团队支持期内的操作系统、 Web 服务器、 PHP 、数据库、内存缓存等软件,超出支持期的软件可能会对您的站点带来未知的安全隐患。
Discuz! X 以及 UCenter 软件当前 Release 版本发布规则为当前大版本下有新的 Release 版本发布时,之前的 Release 版本将自动处于 EOL 状态,不再进行维护,请站点在新版本发布后主动更新到新的 Release 版本。
请各位站长、站点管理运维人员以及插件、模板开发者保持对 Discuz! X 官方 Git 仓库 https://gitee.com/Discuz/DiscuzX 的关注,以便在安全漏洞发生时可进行修补,让自己的站点时刻保持最安全的状态!
对不向前兼容或涉及安全性变更的特殊说明
对邮件发送新增了 FORMHASH 校验,未做适配的调用此链接的插件或模板会导致无法发送激活邮件。
关联 Issue
无
