FineUI 官方论坛

标题: 开源版安全漏洞的紧急通知！ [打印本页]

作者: sanshi 时间: 2015-12-30 21:08
标题: 开源版安全漏洞的紧急通知！

注：此漏洞在v4.2.3中已修复，升级后无需改动！

今天晚上，网友 @Happy you and me 指出了开源版的一个安全漏洞：http://www.cnblogs.com/dotnet-org-cn/p/5089924.html

FineUI（开源版）紧急修复（v3.3.0 - v4.2.2）！

1. 如果已发布的项目中使用了 FineUI（开源版）：

请立即删除 Web.config 中的如下配置项：

<httpHandlers>

<add verb="GET" path="res.axd" type="FineUI.ResourceHandler, FineUI" validate="false" />

</httpHandlers>

否则，恶意用户可以利用此漏洞下载项目中的任何文件（包括Web.config、DLL），从而导致密码泄露，服务器被攻击！

2. 如果正在使用 FineUI（开源版）进行开发，无需惊慌，最近会发布 v4.2.3 修复这个漏洞。

FineUI（专业版）没有漏洞，不要做任何更改！

------------------
FineUI（专业版） -- 最好用的 ASP.NET 控件库（http://fineui.com/pro）

合肥三生石上软件有限公司

作者: 何夕 时间: 2015-12-30 21:16
收到，感谢LZ

作者: 梦如人生 时间: 2015-12-30 21:22
只为了个板凳儿。。。。三石辛苦了！

作者: 狐狸猫 时间: 2015-12-30 21:44
问下我现在还是3.3.3版本受影响吗该怎么处理？

作者: sanshi 时间: 2015-12-30 21:46

狐狸猫发表于 2015-12-30 21:44
问下我现在还是3.3.3版本受影响吗该怎么处理？

v3.x 最后一个版本和 v4.x 一样，做相同处理即可！

作者: 狐狸猫 时间: 2015-12-30 21:52

sanshi 发表于 2015-12-30 21:46
v3.x 最后一个版本和 v4.x 一样，做相同处理即可！

我用appbox2.0 就是3.x的版本测了一下去掉以后菜单的图标都不见了怎么处理

作者: sanshi 时间: 2015-12-30 22:04

狐狸猫发表于 2015-12-30 21:52
我用appbox2.0 就是3.x的版本测了一下去掉以后菜单的图标都不见了怎么处理 ...

版本必须 >=v3.3.0，否则请先升级到 v3.x 的最后一个版本

作者: Gnid 时间: 2015-12-31 04:30
服务器上装360主机卫士，直接屏蔽了这个URL

作者: shouzhi2007 时间: 2015-12-31 09:16

收到，感谢

作者: yezie 时间: 2015-12-31 14:20
<system.webServer>里的要不要删？

作者: snooze 时间: 2016-2-28 23:22

狐狸猫发表于 2015-12-30 21:52
我用appbox2.0 就是3.x的版本测了一下去掉以后菜单的图标都不见了怎么处理 ...

你好，我把版本升级到3.3.3，还遇到这个问题，请问你最后是怎么解决的？

作者: snooze 时间: 2016-3-1 23:12
本帖最后由 snooze 于 2016-3-1 23:15 编辑

sanshi 发表于 2015-12-30 22:04
版本必须 >=v3.3.0，否则请先升级到 v3.x 的最后一个版本

我从这里下载的appbox里fineui版本是3.2.2，已升级到3.3.3，去掉楼主提示的漏洞语句后，也出现菜单图标都不见的问题，请问楼主怎么解决。

作者: sanshi 时间: 2016-3-2 09:41

snooze 发表于 2016-3-1 23:12
我从这里下载的appbox里fineui版本是3.2.2，已升级到3.3.3，去掉楼主提示的漏洞语句后，也出现菜单图标都 ...

那个配置项在 3.3.0 以上版本中已经没用了，不会影响现有系统。

看下树控件的 EnableIcons 是否设置为 false ？给点截图

作者: snooze 时间: 2016-3-3 21:12
本帖最后由 snooze 于 2016-3-3 21:20 编辑

sanshi 发表于 2016-3-2 09:41
那个配置项在 3.3.0 以上版本中已经没用了，不会影响现有系统。

看下树控件的 EnableIcons 是否设置为 f ...

EnableIcons没有设置为false，项目清理及重新生成后，左侧菜单图标，菜单模块管理里，新增及编辑菜单时，菜单图标选择项也变为和左侧菜单项一样的如下图标。

作者: sanshi 时间: 2016-3-4 10:13

snooze 发表于 2016-3-3 21:12
EnableIcons没有设置为false，项目清理及重新生成后，左侧菜单图标，菜单模块管理里，新增及编辑菜单时， ...

F12看下图片请求的路径，一般是 icon 目录不存在或者路径不对。

作者: snooze 时间: 2016-3-4 16:42
本帖最后由 snooze 于 2016-3-4 16:45 编辑

sanshi 发表于 2016-3-4 10:13
F12看下图片请求的路径，一般是 icon 目录不存在或者路径不对。

不显示的图标路径都是"~/res.axd?icon=TagGreen"这种形式的，是不是和删除的漏洞配置项有关。

作者: sanshi 时间: 2016-3-5 14:27

snooze 发表于 2016-3-4 16:42
不显示的图标路径都是"~/res.axd?icon=TagGreen"这种形式的，是不是和删除的漏洞配置项有关。 ...

如果是FineUI控件的 Icon=TagGreen，则不会在客户端生成这样的代码，请确认？！

作者: snooze 时间: 2016-3-7 10:23

sanshi 发表于 2016-3-5 14:27
如果是FineUI控件的 Icon=TagGreen，则不会在客户端生成这样的代码，请确认？！
...

是不和我使用的appbox2.0的版本有关，在菜单管理模块，新增菜单里，选择图标时，图标也是一样的链接，而且图标不显示。见下图：

欢迎光临 FineUI 官方论坛 (https://www.fineui.com/bbs/)