简单.生活

一、漏洞危害说明：

1、主要通过离线BLOG书写工具，透过它们的上传一些可执行的PHP，JS文件到服务器，以对服务器产生攻击。
2、需要使用特别的攻击代码，绕过管理员用户名与密码的检测，才可以真正上传可执行的文件。

二、主要防护方法：

1、如果不需要使用离线BLOG工具，可以直接删除xmlrpc.php文件。
2、按以下方法更新xmlrpc.php文件。

三、主要修改如下：

1、修改metaWeblog_newMediaObject函数，增加文件扩展名的过滤，对没有过滤的文件连接改成了首页，但附件不会上传到服务器上去。
2、对用户名与密码进行过滤，以确认用户名与密码的伪造登入。修改checkuser函数，对username和password增加一个safe_convert函数进行有害字符进行处理。（红色为新增内容）

各位F2Blog的用户记得及时更新！
94