漏洞概要
关注数(24)
关注此漏洞
漏洞标题:Discuz X2.5 时区逻辑错误
提交时间:2012-07-12 22:39
修复时间:2012-07-13 13:27
公开时间:2012-07-13 13:27
漏洞类型:应用配置错误
危害等级:低
自评Rank:2
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-07-12: 细节已通知厂商并且等待厂商处理中
2012-07-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
Discuz X2.5 时区逻辑错误,导致Discuz某些应用不能正常使用
详细说明:
Discuz X2.5 时区逻辑错误,导致Discuz某些应用不能正常使用
比如QQ登陆
漏洞证明:
修复方案:
版权声明:转载请注明来源 蟋蟀哥哥@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-07-13 13:27
厂商回复:
添加对漏洞的补充说明以及做出评价的理由
最新状态:
暂无
漏洞评价:
评论
-
2012-07-12 22:58 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
@xsser 误报。。我搞错了。。cst有多个定义。。我这个是china stand time,转换过来时间是对的。。是服务器的时间没对
-
2012-07-13 11:07 |
爱上平顶山 
( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
-
2012-07-13 11:32 |
tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)
尼玛,这成bug报告平台了……还是安全bug呢?@xsser
-
2012-07-13 11:40 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@tpu01yzx 没事儿 厂商忽略就行了 每个人因为经验不同对漏洞理解也不同的 :)
-
2012-07-13 11:58 |
tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)
@xsser 小的范围是可以因人而异,但我觉得总体上可以控制只报告安全类型的漏洞。像这个就是用户体验上的漏洞,跟安全没有关系,其实硬要说有关系的话,所有用户体验上的漏洞都可能导致社工攻击……每个软件项目都有自己的bug report机制,从效率来说,引导大家对于非安全类型的漏洞走传统的漏洞报告渠道也许会更好一些。没错,只要厂商忽略掉就可以了,作为平台,我是觉得最起码应该做一定的引导工作,而不是简单交给厂商忽略。
-
2012-07-13 12:00 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@tpu01yzx 目前这部分比例不过超过1/300的,乌云作为一个和厂商沟通的平台,是可以接受这部分bug,但是只要对安全不产生影响,厂商可以在乌云忽略但是自行修复的,忽略本身就是一种引导
-
2012-07-13 12:13 |
tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)
@xsser 这种忽略会打击bug提交者的积极性,不符合bug report的游戏规则。就是除了“厂商忽略”,“乌云”是不是也应该做点什么呢?建议在审核阶段就忽略掉,不需要出现在安全漏洞列表中,同时告知漏洞提交者相关软件项目的一般bug report渠道(这个由厂商或者搜索引擎提供),如果有的话。
-
2012-07-13 12:22 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-07-13 12:22 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
-
2012-07-13 12:22 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
-
2012-07-13 12:34 |
tpu01yzx ( 实习白帽子 | Rank:58 漏洞数:8 | test)
@蟋蟀哥哥 哈哈,没事,以后记得就好。discuz的官方bug report在这里:http://www.discuz.net/forum-70-1.html
-
2012-07-13 17:59 |
蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)
