业务基础平台安全漏洞修复补丁

常见问题 /  著作权归作者本人所有

李琦  2021-7-13 14:09

针对项目现场反馈的平台安全漏洞,发布漏洞修复补丁,修复补丁及升级方案具体情况如下:

(1)平台未对上传文件进行限制,可传入HTML或其他页面等文件,导致钓鱼或其他攻击的问题。

【修复方案】:在UploaderController.javaupload()方法中添加上传文件类型校验方法,只允许上传指定类型的附件,解决钓鱼或其他攻击问题。

(2)应用程序中存在敏感信息泄露漏洞,如:遗留多余的访问接口、代码中存在绝对路径等信息。

【修复方案】:检查应用程序中的代码中是否存在通过绝对路径获取文件等信息,确保服务器仅对外暴露需要访问的应用端口,如需暴露其他端口(如数据库端口),尽量通过网络策略授权给需要访问的数据库IP地址,无关IP禁止访问。

(3)应用程序中数据库密码和redis密码使用明文存储、且存在弱口令问题应用程序中数据库密码和redis密码使用明文存储、且存在弱口令问题。

【修复方案】:应用程序中数据库密码一般为caperedis密码为avicit,该密码不符合要求。规范的密码规则为:数字+大小写字母+特殊字符(不少于三种),不少于10位。各项目根据密码规则设置数据库和redis密码,并使用加密工具进行加密,然后配置在应用程序jdbc.properties文件中。注意:修改应用程序中的redis密码后,需要同步修改redis工具的密码,打开redis目录中的redis.windows.conf文件, redis密码修改为新的明文密码。

(4)平台公共报错页面泄露了部署环境的内部信息,存在安全隐患。

【修复方案】:需要将项目中500.jsp页面替换。对于V6.3.3及以上版本,替换路径为:login/console/500.jsp。对于V6.3.3以下版本,替换路径为:login/500.jsp

(5)配置Tomcat时,未对管理页面进行删除或者权限配置,攻击者可以通过暴力猜解进入到管理后台,从而获取内部信息。

【修复方案】:删除tomcatwebapps目录中除项目war包外的所有文件。

(6)应用系统中用户登录密码存在弱口令问题。

【修复方案】:使用平台的密码模板配置功能,给所有用户均设置强密码规则。

(7)平台API文档接口未授权访问,攻击者无需认证便可访问到内部数据,导致敏感信息泄露。

【修复方案】:打开平台shiro.properties文件注释掉/v2/api-docs=anon重启项目即可。

(8)Apache Shiro权限绕过漏洞(CVE-2020-17523)。

【修复方案】:将shiro版本升级到1.7.1,注意jdk需升级到1.8版本。

(9)Jackson反序列化漏洞(CVE-2019-14361CVE-2019-14439)。

【修复方案】:将jackson-databind.jar升级到2.8.11.5版本可修复该漏洞。

附件:

修复补丁及升级方案.rar


路过

雷人

握手

鲜花

鸡蛋
收藏 邀请

暂无相关评论

评论文明上网理性发言,全站可见,请文明发言

   © 2015-2021 金航数码科技有限责任公司版权所有 京ICP证110633号