港交所网站被黑事件尚未平息，一个影响更为广泛的DedeCMS系统高危漏洞又被黑客捅了出来。公开数据显示，使用DedeCMS系统的国内互联网站接近40万家，覆盖企业、教育机构、数字传媒等各个领域。截至发稿前，DedeCMS仍未发布官方补丁修复漏洞，为此360网站安全检测平台(webscan.360.cn)已紧急提供了临时解决方案，提醒广大网站站长尽快参考方案修复漏洞。

DedeCMS是国内第一个开源的网站内容管理系统，在CMS市场受到大批网站站长的欢迎。不过最近有技术论坛发现，该系统的全局变量初始化存在漏洞，可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

据此前360安全中心发布的《互联网安全报告》显示：今年以来，黑客攻击网站服务器，窃取用户数据造成的危害已经超过盗号木马。很多网民即便电脑没有中木马，账号和密码也会由于网站漏洞而被黑客窃取。因此，DedeCMS漏洞不仅关系着数十万家网站的服务器安全，对网民的切身利益也造成了间接影响。

360网站安全检测平台提醒广大站长，该平台已经第一时间支持DedeCMS最新漏洞的检测，使用DedeCMS开发的网站站长可登录webscan.360.cn免费检测。一旦发现网站存在漏洞，在DedeCMS官方补丁发布之前，应尽快按照如下应急方案进行处理(以DedeCMS 5.6为例)：

在DedeCMS系统的/include/common.inc.php中，找到注册变量的代码：

　　foreach(Array('_GET','_POST','_COOKIE') as $_request)
　　{
　　foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
　　}

将其修改为：

　　foreach(Array('_GET','_POST','_COOKIE') as $_request)
　　{
　　foreach($$_request as $_k => $_v) {
　　if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
　　exit('Request var not allow!');
　　}
　　${$_k} = _RunMagicQuotes($_v);
　　}
　　}

Fixed Filemod bug
Added Google Analytics folder/files tracking
Fixed thumbnails with “globalpath” when loading from non-default gallery location.
When you open flash galllery custom language is reset to default one
After moving/copying files you stay in the current folder
Fixed an issue with minus sign in menu [icon.png]
Fixed missing messages in CSS editor in Imagevue
Better expanding textareas in Config editor
Stripped [icon] from page title in admin
Wider inputs in config editor
Trial expires not that quick now
Ctrl-A/Cmd-A Selection of files in admin doesn’t block selections in textfields
Fix for #/links replacement for HTML gallery
Clean theme delete
Orphaned thumbnail remover
Changed frontend HTML
Better handling of paths with non-latin characters (Not recommended)

Download link : http://www.gokuai.com/f/V0D74R50iN57A798

兔兔严重鄙视那些看文章不回复又想下载的人，再次提醒，需要下载请自觉回复。

QQ 2011全新体验 加强安全防护机制，QQ使用更安全.
内置QQ安全防护模块，可有效防护盗号木马侵扰，保障QQ使用安全!
有效拦截恶意程序注入，避免QQ异常.

针对恶意程序试图注入QQ进行拦截并弹出提示，同时允许选择不再弹窗提醒，当选择不再提醒后，QQ主界面底部的安全逻辑会生效，再有恶意注入时进行闪烁提醒。
可疑程序注入提醒，方便用户自由选择
针对可疑程序试图注入QQ进行提醒，方便用户自由选择；并且所做的选择可以在安全沟通页面进行一键恢复到默认值。
支持一键打开安全防护页面，查看详细记录
支持通过QQ主界面底部安全菜单进入安全防护页面，查看注入的历史记录；针对是否弹出提示的设置，支持一键恢复默认为初始设置。优化了QQ安全检查逻辑，降低QQ被破坏的风险。

下载地址：http://dl_dir.qq.com/qqfile/qq/QQ2011/QQ2011Beta3(QQProtect1.0).exe

FreeBSD 是一种先进的操作系统,它支持 x86 兼容(包括 Pentium® 和 Athlon™)、amd64 兼容(包括 Opteron™、Athlon™64 和 EM64T)、 ARM、IA-64、PC-98以及 UltraSPARC® 架构的计算机.FreeBSD 源于 BSD ──美国加州大学伯克利分校开发 UNIX® 版本它由来自世界各地的 志愿者 开发和维护. FreeBSD 为不同架构的计算机系统提供了不同程度的支持.

下载:FreeBSD 9.0 Beta 1
下载:PC-BSD 9.0 Beta 1

数十万WordPress用户目前似乎正遭受图像处理脚本Timthumb的威胁，这是一个相当受欢迎的第三方脚本，它可以实现动态图像裁剪、缩放和调整，脚本的文件名是timthumb.php，该文档定义了数个可以远程提取的相册，但脚本并没有很好地验证这些域名，因此类似“http://flickr.com.maliciousdomain.com”这样的欺骗性二三级域名也会被通过，所以黑客理论上可以用任何域名后缀轻松仿冒，并通过缓存目录上传各种恶意程序。

目前在Google搜索这一脚本的文件名，一共返回了39万个结果，这意味着这些博客全部遭受安全漏洞的影响，所以如果您运行着WordPress和Timthumb，请尽快做出行动修补或者暂停运行。

- 阅读剩余部分 -