DNN安全分析器的新版本

我们很高兴有了Security Analyzer模块的另一个版本——8.1版。此版本的主要目的是保护网站免受最近发布的安全漏洞“2017-08(严重)DNN站点上可能的远程代码执行”的影响。有关该漏洞的更多详细信息，请访问我们的安全中心//m.halcrogroup.com/community/security/security-center．

2017-08(紧急)可能在DNN站点上执行远程代码

我们在DNN和Evoq版本9.1.1中应用了此问题的第一个修复程序，然而，经过进一步调查，我们发现需要进一步收紧，这就是为什么我们发布了该工具的更新版本，对该问题进行了完整的修复。这个问题很关键，可以追溯到DNN的几个版本，包括5.0及以上版本。强烈建议您立即应用此方法。

支持版本

该工具支持DNN和Evoq 5.6.2及以上版本，包括. net Framework 3.5。运行DNN或Evoq 5.6.2到DNN或Evoq 9.1.1版本的站点必须立即应用此工具。与往常一样，最好先在测试环境中安装，然后再在生产环境中安装。

其他的变化

我们也对这个工具做了一些更新。

Telerik安全检测

如果没有应用Telerik安全补丁(也称为2017年6月关键安全补丁)，我们可以发出警告。如果你看到上面截图的红色X，你必须安装相应的安全补丁。如果您的站点运行的版本为7.1.2至9.1.0，则需要访问“关键安全更新”页面并安装安全分析器。如果您的站点运行的版本为5.2至7.1.1，则需要访问“针对旧版本的关键安全更新”页面并安装安全分析器。
这里有三个检查:

• Bin文件夹中有正确版本的Telerik.Web.UI.dll文件
• 网络。config中有一个Telerik.AsyncUpload.ConfigurationEncryptionKey的条目
• 网络。config中有一个telererik . web . ui . dialogparametersencryptionkey的条目

以上两个条目可以是ANY值。确保长度超过64个字符。更多关于这两个钥匙的细节可以在这里找到:http://docs.telerik.com/devtools/aspnet-ajax/general-information/web-config-settings-overview

更新(7/27/2017)我们已经发布了这个工具的8.1.1版本。它现在自动添加telerick . web . ui . dialogparametersencryptionkey。该工具可以从相同的位置下载。

安全模块Disabling-Detection

Security Analyzer使用一个特殊的模块来执行其活动。在极少数情况下，恶意用户可能会禁用该功能。下面的确认消息确认安全代码仍然有效。

磁盘访问检查

我们在这方面做了轻微的调整，以确保没有假阳性报告。然而，根据我们的研究，我们发现在这个检查中提到的警告大多是非常准确的。
更多关于IIS应用程序池标识的详细信息可以在以下资源中找到:
https://www.youtube.com/watch?v=0tEojc_GU_A
https://stackoverflow.com/questions/5437723/iis-apppoolidentity-and-file-system-write-access-permissions
https://docs.microsoft.com/en-us/iis/manage/configuring-security/ensure-security-isolation-for-web-sites
https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/86127a66-dfd0-431b-b24e-84aee7e15fe1.mspx?mfr=true

升级到更新版本的DNN

使用此版本的工具，在将DNN或Evoq升级到9.0之前的版本时，可能会遇到升级错误(如上所示)。如果您升级到9.0或更高版本，则不会出现此问题。当然，我们总是建议升级到最新版本的DNN或Evoq。变通方法非常简单。只需在升级之前先安装此工具，并在安装后再次安装。
关于这个问题的更多细节可以在这里找到:https://dnntracker.atlassian.net/browse/DNN-9428

下载

安装包可在此处下载:https://github.com/DNNCommunity/SecurityAnalyzer/releases
确保下载带有“最新版本”标签的版本。

安装此工具

安全分析器可以安装为任何标准的DNN扩展。详情请参阅本文件://m.halcrogroup.com/docs/administrators/extensions/install-extension.html

以前的版本

这篇博客解释了Security Analayzer的一般用法:安全分析工具的更新

额外的问题

请发送电子邮件至(电子邮件保护)有关安全的问题。
或者，你也可以在评论中提问。