业务基础平台安全漏洞修复II期

其它  / 倒序浏览   © 著作权归作者本人所有

#楼主# 2022-1-29

跳转到指定楼层
针对项目现场反馈的平台安全漏洞,金航数码研发中心(平台)进行修复,发布漏洞修复补丁,本文件对修复补丁及升级方案进行简要说明。

# 1.      有 效 性:

V6R3.4.2、V6R3.2.3版本平台。

# 2.      内    容:

2.1应用系统漏洞描述及修复方案

**(1)****Shiro****验证绕过漏洞。**

【修复方案】:升级Shiro相关jar包至1.7.1版本,注意jdk需升级到1.8版本。

**(2)****Jackson-databind****远程代码执行漏洞。**

【修复方案】:升级jackson相关jar包至2.8版本。

**(3)****下载系统Excel模板可能被攻击的漏洞。**

【修复方案】:提供平台补丁包。

**(4)****httpheader****方式下登录的安全问题。**

【修复方案】:提供平台补丁包。

**(5)平台rest请求密码未加密的问题。**

【修复方案】:提供平台补丁包。

**(6)****平台密钥key在配置文件中明文存储的问题。**

【修复方案】:提供平台补丁包。

**(7)****系统修改密码可能被攻击的漏洞。**

【修复方案】:提供平台补丁包。

**(8)****登录权限检查绕过漏洞。**

【修复方案】:提供平台补丁包。

**(9)****检测到目标URL存在电子邮件地址模式漏洞。**

【修复方案】:提供平台补丁包。

**(10)****检测到目标web应用表单密码类型输入启用了自动完成操作漏洞。**

【修复方案】:提供平台补丁包。

**(11)Apache Tomcat examples** **目录可访问导致多个漏洞。**

【修复方案】:删除tomcat根目录webapps文件夹下除项目war包外所有文件。

2.2应用系统依赖环境漏洞描述及修复方案

**(1)****Nexus****远程命令执行漏洞。**

【修复方案】:建议将Nexus升级到最新版本,目前最新版本为nexus-3.37.0。

最新版本下载地址:

[https://help.sonatype.com/repoma ... epository-manager-3](https://help.sonatype.com/repoma ... epository-manager-3)。

**(2)Apache Tomcat** **输入验证错误漏洞。**

【修复方案】:官方提供漏洞修复方案,链接地址为:

[https://exchange.xforce.ibmcloud.com/vulnerabilities/159398](https://exchange.xforce.ibmcloud.com/vulnerabilities/159398)。

**(3)Apache Tomcat** **信息泄露漏洞。**

【修复方案】:官方提供漏洞修复方案,链接地址为:

[https://lists.apache.org/thread. ... tomee.apache.org%3E](https://lists.apache.org/thread. ... tomee.apache.org%3E)。

**(4)Apache Tomcat** **拒绝服务漏洞。**

【修复方案】:官方建议直接升级至最新版本,最新版本下载链接地址为:

[https://tomcat.apache.org/](https://tomcat.apache.org/)。

附:平台安全漏洞补丁下载地址:

链接: https://pan.baidu.com/s/1xVT8haNsQLXp_oQjUaqJ-A

提取码: qpjb
回复

使用道具

成为第一个回答人

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

   © 2015-2021 金航数码科技有限责任公司版权所有 京ICP证110633号