***请仔细阅读并立即使用贴片***
Telerik最近公布了Telerik. web . ui . dll程序集中的三个安全问题——CVE-2017-11317、CVE-2017-11357和CVE-2014-2217。本博客的目的是提供一个DNN特定的补丁以及有关该问题的其他详细信息。本博客采用常见问题解答格式,便于阅读。
我在哪里可以找到关于这两个Telerik安全问题的更多细节?
1.cve - 2017 - 11317https://www.cvedetails.com/cve/CVE-2017-11357/
http://www.telerik.com/support/kb/aspnet-ajax/upload-%28async%29/details/unrestricted-file-upload
2.cve - 2017 - 11357https://www.cvedetails.com/cve/CVE-2017-11317/
http://www.telerik.com/support/kb/aspnet-ajax/upload-%28async%29/details/insecure-direct-object-reference
3.cve - 2014 - 2217https://www.cvedetails.com/cve/CVE-2014-2217/
你能否进一步介绍有关情况?
除了上面的公开链接,我们没有更多的细节。
我们怎样才能避免这个问题呢?
我们正在发布安全补丁来解决这个问题。热修复是一个简单的DNN扩展,可以像任何其他DNN扩展一样安装。此外,我们还建议您下载最新的安全分析器。这里有下载的链接:
对安装说明有什么建议吗?
是的。补丁大于12mb。安装程序可能不允许您在旧版本的DNN中上传大文件。您应该手动将扩展上传到Website\Install\Module文件夹,并使用主机> Extensions下的“可用扩展”选项来安装它。或者,您可以按照说明操作在这里增加上传大小限制。
此外,您可能会在Telerik.Web.UI.Dll文件“正在使用”时遇到安装错误。最好在安装之前重新启动应用程序池。
如果安装失败怎么办?
理想情况下,您应该重试。如果总是失败,那么您应该解压缩安装zip文件,并将Telerik dll复制到站点的Bin文件夹中。zip文件包含另一个Resources.zip文件,其中包含Telerik dll。
我应该先备份我的网站吗?
绝对的。你应该首先备份网站文件夹和SQL数据库。另外,您可能希望首先在测试环境中运行它。
安装后是否需要将补丁(模块)添加到页面中?
不。你所需要做的就是安装。不需要更多的操作。你可能想要通过查看Extensions区域来验证它是否已经安装:
这个补丁到底是做什么的?
它更新了网站的bin文件夹中的Telerik.Web.UI.Dll和Telerik.Web.UI.Skins.dll。它还将DNNSecurityHotFix20171.dll复制到Bin文件夹中。
我怎样才能确定补丁确实安装了?
使用windows资源管理器进入Bin文件夹,右键单击并验证Telerik.Web.UI.Dll文件的文件大小和版本号。
.Net 4.0及以上-文件大小应为19,092,992字节,版本应为2013.2.717.40
.Net 3.5 -文件大小应为19,039,744字节,版本应为2013.2.717.35
下图为。net 4.0及以上版本:
这个安全补丁是否与2017年6月发布的安全补丁有关?
它建在2017年6月安全热修复.
我已经有2017年6月的安全热修复,我还需要这个吗?
是的。你仍然应该应用这个。2017年6月的版本号是1.0.1,新的版本号是1.2.0。
我没有申请2017年6月的安全补丁,我应该先申请吗?
不。新补丁也包含2017年6月的安全修复。
我已经应用了Telerik自己的最新安全修复程序?我也需要安装这个吗?
这是你的选择。来自Telerik的直接DLL不包含DNN特定的定制,包括在DNN版本的此类DLL中。因此,我们不支持您直接从Telerik应用这些dll。您可能会遇到兼容性问题。
你们要发布哪个版本的Telerik dll ?它们比最新的Telerik还要老吗?
在撰写本文时,Telerik的dll版本的最新版本是:2017.2.711。这些dll的DNN版本为:2013.2.717。正如你所看到的,DNN的版本落后了近4年。
这类dll在DNN领域的长期愿景是什么?
我们打算在未来的DNN版本中完全删除Telerik的使用。如果您的模块依赖Telerik,那么您应该计划使用不同的技术。
哪些版本的DNN受此漏洞影响?
根据Telerik文档,这些漏洞从Telerik版本2011.1.315到2017.2.621就存在了。我们的记录表明,我们从DNN 5.6.3开始使用Telerik版本2011.1.519.35。由于我们对漏洞了解不多,因此我们认为此漏洞影响DNN 5.6.3及以上版本。
我根本没有使用Telerik,我可以跳过这个修复吗?
只有少数较新版本的Evoq不包含任何Telerik,在这种情况下,你可以跳过这个修复。但是,最好检查您的Bin文件夹是否存在Telerik.Web.UI.Dll文件。如果它在那里,那么你一定要应用这个修复。
我使用CK编辑器,我还需要应用这个修复吗?
是的。只要你的Bin文件夹中有Telerik.Web.UI.Dll,你就应该应用这个。
这个修复支持哪些版本的DNN ?
. net 4.0版本的修复可以应用于DNN / Evoq 7.1.2及以上版本。你也可以在旧版本的DNN / Evoq上安装它们,但你可能会遇到兼容性问题。我们始终建议您将DNN更新到较新的版本,以防止其他已知的安全问题。请浏览我们的安全中心查找其他已知版本特定的漏洞。
. net 3.5版本可以应用于7.0.0之前版本。但是,您可能会遇到兼容性问题。最好将DNN / Evoq升级到较新的版本-至少7.1.2或更高。
2017年6月的修复有一些副作用,它们已经修复了吗?
2017年6月的修复有一个副作用,它限制了从Rad Editor上传的文件,只有少数几个。添加新的文件扩展名经常导致“无法反序列化对话框参数”。请刷新编辑器页面”错误。
现在,您也可以通过以下步骤上传其他文件扩展名。这个例子试图在系统中添加mp4作为一个新的扩展。
1.包括新的扩展下允许的文件扩展名在主机>主机设置> 9.0前版本或Persona Bar中的其他设置>设置>安全>更多> 9.0及以上版本的更多安全设置
2.包括新的扩展下文档管理器设置在主机b> Html编辑器管理> DotNetNuke。RadEditorProvider >每个节点在9.0或人物栏>设置>站点设置>站点行为>更多> Html编辑器管理器
3.添加一个条目“Dnn.Telerik.Upload”。web.config中的AdditionalWhiteListExt。更多的扩展名可以在它们之间添加逗号,例如mp4,.mov
在提供任意文件扩展名(如.xyz或.abc)时,需要小心mime设置。您仍然可以上传这些文件,但您可能无法通过浏览器下载它们。已知的好的文件扩展名在通过浏览器下载时应该不会有任何问题。
是否有人可以使用此设置上传恶意文件,例如。aspx或。asp ?
不。
作为修复的一部分,你们还会发布其他东西吗?
是的,我们在Security Analyzer中做了一个小的更改,以正确地警告您是否应用了正确版本的Telerik DLL。它也有一些更新。你应该下载Security Analyzer的最新版本(撰写本文时为8.1.3)。
角色栏中的安全分析器仍然显示Telerik没有打补丁。这在意料之中吗?
从DNN 9.0开始,我们还将安全分析器作为Persona Bar本身的一部分发布。这与我们上面提到的独立的安全分析器不同。Persona Bar中的安全分析器将继续指示您没有打补丁。它将在DNN / Evoq的下一个版本中得到解决。以下是你仍然会在角色栏中看到的内容:
我应该在独立的安全分析器中看到什么
如果一切正常,您应该看到下面的屏幕信息:“Telerik组件已经打了补丁。”
有没有可能我的网站已经被入侵了?
我们建议使用上述安全分析器来检查您的站点是否已被入侵。Evoq客户可以联系客户支持获取更多详细信息。