DB真人·(中国区)官方网站db多宝真人

若您无法正常查看此邮件,请点击 在线浏览
db多宝真人网络月度安全更新
2024年9月紧急更新
【db多宝真人一级安全通知】关于Ecology产品后台任意文件下载及远程命令执行漏洞修复的通知
db多宝真人产品月度安全更新
受影响产品 ecology
漏洞名称 后台任意文件下载及SQL注入漏洞 漏洞组件 -
漏洞级别 高危 影响版本 ecology8.0-9.0 && 安全补丁版本<v10.70
修复方法 升级安全补丁包至10.70及以上版本。
补丁地址 EC9.0全量补丁
基于10.56的增量补丁(EC9.0)
基于10.63+的增量补丁(EC9.0)
EC8.0全量补丁
基于10.56的增量补丁(EC8.0)
基于10.63+的增量补丁(EC8.0)
检测方法 用sysadmin登录,访问http://oa地址/security/checksec20240910.jsp,可查看检测结果。如果是404或检测结果有【未通过】项,则需要手动升级安全补丁。
备注 1、如果当前系统中安全补丁版本是10.63,则可以直接使用《基于10.63的增量补丁》进行升级;如果不能确认当前版本,则可以使用全量补丁。

2、务必关闭以下端口的互联网访问:8099、2098、3098、8090、9300、20981、9090、9081

3、建议使用chrome浏览器无痕模式下载补丁包。

4、10.62及以上补丁包中新增了一项防护规则,针对长时间不使用的接口(40-45天未被访问)进行收集。收集完成后,可以启用拦截模式进行拦截,以减少接口暴露面。具体使用方法,可以升级本补丁包后,用sysadmin登录系统,访问/security/monitor/Monitor.jsp,然后点击【日志拦截详情】->【历史接口防护】,输入sysadmin的密码后进入拦截页面->【开启拦截-点击查看防护描述】,了解该功能后,可决定是否要开启防护。

5、建议对sysadmin账号启用IP白名单策略,保障高权限账号泄露带来的安全隐患

修改/ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml,在下方添加如下代码(如果要放行某个网段,则填写IP的前半段即可,如192.168.7. ,则代表192.168.7.*都可以访问):
<sysadmin-allow-login-ips>
<ip>ip1</ip>
<ip>ip2</ip>
</sysadmin-allow-login-ips>


6、如果系统升级后无法正常启动(系统无法访问),请按照以下链接中的步骤处理:系统无法启动处理方案
7、EM7请务必升级到20240822及以上版本:移动端安全补丁包
受影响产品 ecology
漏洞名称 SQL注入漏洞 漏洞组件 -
漏洞级别 高危 影响版本 ecology7.0 && 安全补丁版本<v6.51
修复方法 1、升级安全补丁包至6.51及以上版本。
补丁地址 EC7.0及以下版本安全补丁
检测方法 用sysadmin登录,访问http://oa地址/security/checksec20240910.jsp,可查看检测结果。如果是404或检测结果有【未通过】项,则需要手动升级安全补丁。
备注 升级前请务必做好备份工作。
受影响产品 ecology
漏洞名称 ecology10.0远程命令执行漏洞 漏洞组件 H2
漏洞级别 高危 影响版本 ecology10.0
修复方法 1、升级《EC10.0安全补丁》
2、联系项目或者客服同事申请以下补丁包升级:
0801基线申请 weaver-passport服务,版本: 1.26.0-hotfix2
0701基线申请 weaver-passport服务,版本: 1.25.0-hotfix7
0601基线申请 weaver-passport服务,版本: 1.24.0-hotfix11
0501基线申请 weaver-passport服务,版本: 1.22.0-hotfix10
3、在系统后台管理中心->基本设置->系统级设置->账号安全类->注册设置,启用【禁止注册】,关闭【允许注册账号跳过验证】功能。(部分基线版本可能无此功能,建议升级至最新基线版本后关闭)
补丁地址 ec10.0安全补丁
检测方法 在浏览器里访问http://oa地址/papi/passport/rest/appThirdLogin,返回404或者出现【当前请求的资源被禁止访问。】表示已经防护
备注 1、注:该漏洞于2024年8月20日内部发送过补丁通知,因还有客户未及时处理,因此重新发布通知提醒。 内部提醒链接:通知详情
2、建议及时升级最新基线,确保系统安全性。
安全防护措施温馨提示
1、请定期修改密码(包括各个产品线如Emobiles管理后台、ecology账号、云桥管理后台、emessage管理后台、运维平台管理员等),并确保密码是一个复杂密码,复杂密码的要求:
a、长度至少13位及以上;
b、同时包含大小写字母、数字和特殊字符;
c、在键盘上没有明显的输入规律,比如:1qaz@WSX,比如该密码,看似是强密码,但在键盘上存在
明显输入规律,因此也容易破解。
2、请定期脱机备份核心数据(数据库、附件);
3、建议关闭外网远程桌面,并重命名administrator账号。
往期安全提醒
202011
 20201201
 20201202
 202103
 202104
 20210401
 20210402
 20210403
 20210404
 20210518
 20210623
 20210721
 20210824
 20211210
 		20211221
 20211227
 20220318
 20220525
 20220618
 20220707
 20220716
 20220726
 20220728
 20220730
 20220731
 20220804
 20220805
 20221014
 		20230213
 20230418
 20230707
 20230713
 20230725
 20230810
 20230814
 20230816
 20230821
 20231114
 20231218
 20240222
 20240229
 20240415
 		20240515
 20240607
 20240710
 20240719
 20240725
 20240808
 20240814
 20240816
 20240822
db多宝真人官网 关于我们 db多宝真人
Shanghai Weaver Network Technology Co.,Ltd
db多宝真人