ShopEx发布远程代码执行漏洞修复补丁

　　ShopEx发布单店版V4.7.1 KS47103修正了一个远程代码执行漏洞。收到漏洞报告后（SHOPEX远程代码执行漏洞），ShopEx技术人员快速反应，于30分钟内即完成了补丁的制作测试与发布工作。 dedecms.com

　　该漏洞是由于早期的PHP一个不安全的全局变量注册机制引起的，虽然PHP在5年前就取消了该机制，但还是有某些服务器在配置时打开了该机制。因此这个漏洞只在一些对服务器未进行安全配置的小型及管理不规范主机商处才会发生。 织梦好，好织梦

　　虽然绝大多数ShopEx用户均不存在该漏洞，但还是请ShopEx用户即刻自行打上该补丁。

　　相关说明：

　　补丁下载方法：用户可以登陆商店后台桌面左侧“升级信息”栏目看到并下载使用该补丁。 织梦内容管理系统

　　后台没有看到补丁？那应该是你把根目录下面的version.txt文件删除了，重新上传上去就可以了。

织梦内容管理系统

　　补丁升级方法：将下载的补丁包解压缩后，二进制方式上传补丁包内文件到服务器上对应目录覆盖原文件；
　　注意一定要二进制上传，否则会出现 Fatal error: Unable to read 10790 bytes in /home/public_html/.......等错误。

　　补丁包内容：
　　·修正远程代码执行漏洞
　　·修正前台发送给朋友功能
　　·修正验证码在某些服务器环境下的问题
　　·修正商店留言链接地址解析问题
　　·修正NPS网关返回问题
　　·修正ShopEx客服通文件
　　·其他一些细节优化及页面显示修正

　　补丁下载地址：
　　http://update.shopex.com.cn/version/program/KS47103.zip

copyright dedecms

　　经检测，ShopEx提供的所有主机配置并无上述安全性问题。

　　相关阅读：

内容来自dedecms

　　如何安全配置您的主机 dedecms.com

　　最近发现的ShopEx远程代码执行漏洞是由于用户服务器的PHP配置中全局变量注册选项被错误打开导致的，这说明对服务器进行安全配置是十分重要的，实际上全局变量注册是导致PHP程序安全缺陷的最常见的原因。

　　全局注册机制自出现以来，一直为PHP开发者们所诟病，最终大家决定取消全局变量注册机制并赞同代之以一种更好的输入参数的访问机制。因此从PHP4.1开始引入了名为超级全局变量的机制，以$_GET, $_POST, $_COOKIE, $_SERVER,以及$_ENV变量代表不同来源的输入，同时可以在脚本的任意位置引用它们。在PHP4.1成功地采用了超级全局变量以后，2002年4月发布的PHP4.2默认关闭了全局变量注册机制。

看完这篇，您有何感觉呢？