PHPCMS の脆弱性: 認証キー生成アルゴリズムの問​​題により認証キーが漏洩する

#認証キー漏洩を引き起こす phpcms 認証キー生成アルゴリズムの問​​題の修復問題について

简介：
漏洞名称：phpcms authkey生成算法问题导致authkey泄露
补丁文件：caches/configs/system.php
补丁来源：云盾自研
漏洞描述：phpcms在安装时，由于在同一个页面中连续使用mt_rand()，未进行有效mt_srand();种子随机化操作，导致authkey
存在泄漏风险，黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意：该补丁修复后会自动修改您网站配置文件中的
auth_key和phpsso_auth_key，并且只会运行一次，修复期间会有部分用户访问的cookies失效导致需要登录网站，除此无其他
影响，可放心升级】
…
阿里云漏洞提示。

オンライン ソリューション:

1. /caches/configs/system.php に、最初のパラメータを追加します:

'alivulfix' => 'yes',

変更後のコードのスクリーンショットは次のとおりです:

2. auth_key (20 桁の文字列) を見つけて変更し、記述する内容をカスタマイズするだけです。

'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥

3. 32 ビット文字列である auth_key を見つけて変更し、記述する内容をカスタマイズするだけです。

'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥

注: このステップでは、Alibaba Cloud の Cloud Knight ワンクリック修復と同じです。

Web サイトのユーザーは当面ログインできないだけで、次に最も重要なステップがあります。

4. バックグラウンドで phpsso 管理センターにログインし、ナビゲーション メニュー phpsso ——> アプリケーション管理 ——> 編集で、「通信キー」を、設定されている 'phpsso_auth_key' の値に編集します。ステップ 3 に進み、「送信」をクリックします。

主要な手順のスクリーンショットは次のとおりです。

送信後、以下に示すように、ページには通信が成功したことが表示されます。

5. 最後に、追加でログインをテストします。

Web サイトにログインでき、Alibaba Cloud バックエンドの「phpcms 認証キー生成アルゴリズムの問​​題により認証キー漏洩が発生する」というプロンプトが消えていることがわかります。

Alibaba Cloud からのフィードバック、スクリーンショットは次のとおりです:

最初にローカル ファイルを変更した場合:

(1) は次のとおりです。変更される ファイルはサーバー上の対応するファイルの場所にアップロードされ、直接上書きされます;

(2) 次に、上記の手順 4 と 5 に進みます。

(3) 最後に、Alibaba Cloud バックエンドにログインし、[確認] (下のスクリーンショット) をクリックして脆弱性の修復を完了します。

上記はすべて、「認証キー漏洩につながる phpcms 認証キー生成アルゴリズムの問​​題」の脆弱性修正に関するものです。

PHP 中国語 Web サイト、多数の無料

PHPCMS チュートリアル 、オンライン学習へようこそ!

以上がPHPCMS の脆弱性: 認証キー生成アルゴリズムの問​​題により認証キーが漏洩するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。