|
|
|
|
db多宝真人网络月度安全更新
|
|
2024年9月紧急更新
|
|
|
|
|
|
|
|
【db多宝真人一级安全通知】关于Ecology产品后台任意文件下载及远程命令执行漏洞修复的通知
|
|
 |
|
db多宝真人产品月度安全更新
|
|
|
|
|
受影响产品 |
ecology |
漏洞名称 |
后台任意文件下载及SQL注入漏洞 |
漏洞组件 |
- |
漏洞级别 |
高危 |
影响版本 |
ecology8.0-9.0 && 安全补丁版本<v10.70 |
修复方法 |
升级安全补丁包至10.70及以上版本。
|
补丁地址 |
EC9.0全量补丁
基于10.56的增量补丁(EC9.0)
基于10.63+的增量补丁(EC9.0)
EC8.0全量补丁
基于10.56的增量补丁(EC8.0)
基于10.63+的增量补丁(EC8.0)
|
检测方法 |
用sysadmin登录,访问http://oa地址/security/checksec20240910.jsp,可查看检测结果。如果是404或检测结果有【未通过】项,则需要手动升级安全补丁。
|
备注 |
1、如果当前系统中安全补丁版本是10.63,则可以直接使用《基于10.63的增量补丁》进行升级;如果不能确认当前版本,则可以使用全量补丁。
2、务必关闭以下端口的互联网访问:8099、2098、3098、8090、9300、20981、9090、9081
3、建议使用chrome浏览器无痕模式下载补丁包。
4、10.62及以上补丁包中新增了一项防护规则,针对长时间不使用的接口(40-45天未被访问)进行收集。收集完成后,可以启用拦截模式进行拦截,以减少接口暴露面。具体使用方法,可以升级本补丁包后,用sysadmin登录系统,访问/security/monitor/Monitor.jsp,然后点击【日志拦截详情】->【历史接口防护】,输入sysadmin的密码后进入拦截页面->【开启拦截-点击查看防护描述】,了解该功能后,可决定是否要开启防护。
5、建议对sysadmin账号启用IP白名单策略,保障高权限账号泄露带来的安全隐患
修改/ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml,在下方添加如下代码(如果要放行某个网段,则填写IP的前半段即可,如192.168.7. ,则代表192.168.7.*都可以访问):
<sysadmin-allow-login-ips>
<ip>ip1</ip>
<ip>ip2</ip>
</sysadmin-allow-login-ips>
6、如果系统升级后无法正常启动(系统无法访问),请按照以下链接中的步骤处理:系统无法启动处理方案
7、EM7请务必升级到20240822及以上版本:移动端安全补丁包
|
|
|
受影响产品 |
ecology |
漏洞名称 |
SQL注入漏洞 |
漏洞组件 |
- |
漏洞级别 |
高危 |
影响版本 |
ecology7.0 && 安全补丁版本<v6.51 |
修复方法 |
1、升级安全补丁包至6.51及以上版本。
|
补丁地址 |
EC7.0及以下版本安全补丁
|
检测方法 |
用sysadmin登录,访问http://oa地址/security/checksec20240910.jsp,可查看检测结果。如果是404或检测结果有【未通过】项,则需要手动升级安全补丁。
|
备注 |
升级前请务必做好备份工作。
|
|
|
受影响产品 |
ecology |
漏洞名称 |
ecology10.0远程命令执行漏洞 |
漏洞组件 |
H2 |
漏洞级别 |
高危 |
影响版本 |
ecology10.0 |
修复方法 |
1、升级《EC10.0安全补丁》
2、联系项目或者客服同事申请以下补丁包升级:
0801基线申请 weaver-passport服务,版本: 1.26.0-hotfix2
0701基线申请 weaver-passport服务,版本: 1.25.0-hotfix7
0601基线申请 weaver-passport服务,版本: 1.24.0-hotfix11
0501基线申请 weaver-passport服务,版本: 1.22.0-hotfix10
3、在系统后台管理中心->基本设置->系统级设置->账号安全类->注册设置,启用【禁止注册】,关闭【允许注册账号跳过验证】功能。(部分基线版本可能无此功能,建议升级至最新基线版本后关闭)
|
补丁地址 |
ec10.0安全补丁
|
检测方法 |
在浏览器里访问http://oa地址/papi/passport/rest/appThirdLogin,返回404或者出现【当前请求的资源被禁止访问。】表示已经防护
|
备注 |
1、注:该漏洞于2024年8月20日内部发送过补丁通知,因还有客户未及时处理,因此重新发布通知提醒。
内部提醒链接:通知详情
2、建议及时升级最新基线,确保系统安全性。
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
安全防护措施温馨提示
|
|
|
|
|
1、请定期修改密码(包括各个产品线如Emobiles管理后台、ecology账号、云桥管理后台、emessage管理后台、运维平台管理员等),并确保密码是一个复杂密码,复杂密码的要求:
|
|
|
a、长度至少13位及以上;
b、同时包含大小写字母、数字和特殊字符;
c、在键盘上没有明显的输入规律,比如:1qaz@WSX,比如该密码,看似是强密码,但在键盘上存在 明显输入规律,因此也容易破解。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3、建议关闭外网远程桌面,并重命名administrator账号。
|
|
|
|
|
|
|
|
|
|
 |
|
往期安全提醒
|
|
|
|
|
|
|
|
|
|
|
Shanghai Weaver Network Technology Co.,Ltd
|
|
|
|