Vulnérabilité PHPCMS : un problème d'algorithme de génération de clé d'authentification entraîne une fuite de clé d'authentification

À propos du problème de réparation du problème d'algorithme de génération de clé d'authentification phpcms qui a provoqué une fuite de clé d'authentification

简介：
漏洞名称：phpcms authkey生成算法问题导致authkey泄露
补丁文件：caches/configs/system.php
补丁来源：云盾自研
漏洞描述：phpcms在安装时，由于在同一个页面中连续使用mt_rand()，未进行有效mt_srand();种子随机化操作，导致authkey
存在泄漏风险，黑客可利用该漏洞猜解出网站authkey进而入侵网站。【注意：该补丁修复后会自动修改您网站配置文件中的
auth_key和phpsso_auth_key，并且只会运行一次，修复期间会有部分用户访问的cookies失效导致需要登录网站，除此无其他
影响，可放心升级】
…
阿里云漏洞提示。

Solution en ligne :

1. Dans /caches/configs/system.php, ajoutez le premier paramètre :

'alivulfix' => 'yes',

Après modification, la capture d'écran du code est la suivante :

2. Recherchez et modifiez auth_key, une chaîne de 20 chiffres ; personnalisez simplement ce que vous écrivez.

'auth_key' => '2qKYgs0PgHWWtaFVb3KP', //密钥

3. Recherchez et modifiez auth_key, une chaîne de 32 bits ; personnalisez simplement ce que vous écrivez.

'phpsso_auth_key' => 'hjor66pewop_3qooeamtbiprooteqein', //加密密钥

Remarque : à cette étape, c'est la même chose que la réparation en un clic Cloud Knight d'Alibaba Cloud.

C'est juste que les utilisateurs du site Web ne peuvent pas se connecter pour le moment. L'étape la plus importante reste.

4. Connectez-vous au centre de gestion phpsso en arrière-plan. Dans le menu de navigation phpsso ——> étape 3, puis cliquez sur Soumettre.

Les captures d'écran des étapes clés sont les suivantes :

Après la soumission, la page affiche une communication réussie, comme indiqué ci-dessous.

5. Enfin, testez également la connexion.

Vous constaterez que le site Web peut être connecté et que l'invite dans le backend d'Alibaba Cloud concernant "un problème d'algorithme de génération de clé d'authentification phpcms entraîne une fuite de clé d'authentification" a également disparu.

Retour d'Alibaba Cloud, la capture d'écran est la suivante :

Si vous modifiez d'abord le fichier local :

(1) sera être modifié Le fichier est téléchargé à l'emplacement de fichier correspondant sur le serveur et écrasé directement

(2) Passez ensuite aux étapes 4 et 5 ci-dessus ;

(3) Enfin, connectez-vous au backend Alibaba Cloud et cliquez sur Vérifier (capture d'écran ci-dessous) pour terminer la réparation de la vulnérabilité.

Ce qui précède concerne le correctif de vulnérabilité "problème d'algorithme de génération de clé d'authentification phpcms conduisant à une fuite de clé d'authentification".

Site Web PHP chinois, un grand nombre de Tutoriels PHPCMS gratuits, bienvenue pour apprendre en ligne !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!