CKFinder 3.5.1 和 2.6.3 发布，更新安全准则-低调大师

CKFinder 3.5.1 和 2.6.3 发布，更新安全准则

2019-09-08 600

CKFinder 3.5.1 和 2.6.3 发布了。CKFinder 是一个易于使用的 Ajax 文件管理器。提供文件夹树形结构(Folders tree)导航菜单，多语言支持（自动探测用），支持创建/重命名/删除文件和文件夹，集成 FCKeditor 在线编辑器。

更新了安全准则

在某些情况下，上传文件（无扩展名和允许扩展名）可能会导致 XSS 漏洞：

CKFinder 配置为将文件上载到可公开访问的文件夹
当从公共文件夹中提供文件时，Web 服务器不会向所有 HTTP 响应发送 X-Content-Type-Options: nosniff 标头

在上述条件下，恶意用户可以上传没有 .html 扩展名的文件，该扩展名将由某些浏览器（如常规 HTML 文件）呈现。这是由于内容嗅探而发生的，因为某些浏览器会对原始文件内容执行额外检查。

CKFinder 2.6.3

CKFinder 2.6.3 包含应用程序服务器端部分安全修补程序，强烈建议进行更新。CKFinder 2.6.3 的安全补丁已添加到 PHP、ASP.NET、ASP 和 ColdFusion 服务器端连接器中。 Java 版本没有受到影响。

版本 2.6.3 引入了一种特殊类型的扩展（no_ext），它允许服务器管理员启用上传文件，而无需任何扩展。

官方建议始终为上传文件定义受允许的扩展名，并按照指南中的说明设置安全服务器配置。

CKFinder 3.5.1

在 CKFinder 3 中，没有扩展名就无法上传文件。此功能已在 3.5.1 版本中添加，但为了允许此类文件，必须在定义允许或拒绝文件扩展名列表时使用特殊的 no_ext 扩展名显式启用它们。

发布公告

下载地址：https://ckeditor.com/ckfinder/download/

微信关注我们

原文链接：https://www.oschina.net/news/109699/ckfinder-3-5-1-and-2-6-3-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

fastjson 1.2.60 发布，修复导致 DoS 的问题

fastjson1.2.60 发布了，这是一个 bug 修复安全加固版本，增加了 AutoType 黑名单，修复了一个导致拒绝服务的问题。具体更新内容：安全增强，增加 AutoType 黑名单，修复特定场景导致拒绝服务的问题序列化支持 org.json.JSONObject 类型修复某些场景 Enum 定制反序列化不生效的问题修复某些场景解析非法字符串不抛异常的问题修复 JSONField 配置 WriteBigDecimalAsPlain 不生效的问题增强 Builder 模式支持，JSONPOJOBuilder 支持 withPrefix 为空字符串等修复全接口对象@transient不起作用的问题修复解析 base64 字符串带'/'解析错误的问题修复使用 JSONField 指定序列化使用单引号不生效的问题修复使用 JSONField 指定 WriteMapNullValue 特性不生效的问题反序列化自动识别日期格式支持'yyyy-MM-dd HH??ss,SSS' 反序列化日期格式支持 unixtime 修复序列化 byte[] 在某些场景报错的问...

2019-09-09

900

Spring Boot 2.1.8 发布了，更新内容如下： New Features 添加了 Issuer Validation 的其他资源服务器配置#17952 在依赖关系管理中公开依赖管理插件版本#17842 Bug Fixes 使用未命名为 flywayInitializer 的自定义 FlywayMigrationInitializer bean 的 NoSuchBeanDefinitionException#18105 使用未命名为 flyway 的自定义 Flyway bean 的 NoSuchBeanDefinitionException#18102 使用 Netty 时，无效的内容类型标头值会导致请求在启用压缩时卡住#18018 ApplicationContextRequestMatcher 可以使用错误的 ApplicationContext#18012 Spring Boot CLI 无法始终捕获 ctrl-c#17976 TypeUtils.process(TypeDescriptor, TypeMirror)吞下异常消息和堆栈跟踪#17974 非 MVC We...

2019-09-09

737

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。