.jpg)
近日,在某云平台项目中使用时,检测出应用服务器V10.0存在信息泄露漏洞,内部编号AAS-5918。下文对这个问题进行分析以及对解决方案进行说明,方便广大客户及时更新修复漏洞,提升系统安全性,防止安全问题的发生。
一、问题分析
现象:应用程序客户端通过构造特殊路径进行未授权的文件的访问,可以获得文件的内容。
原因:应用服务器存在访问路径校验不严格,特殊路径构造请求绕过了检查,导致将文件内容的返回。
影响范围:在2023-09-20前发布的应用服务器V10.0,都存在该问题.
严重级别:高
二、处理方案
1、补丁下载
应用服务器V10.0的各个版本需要下载补丁进行更新,现在已发布版本包括V10.0基础版本以及SP1至SP8版本,补丁下载地址如下:http://file.apusic.com/sharing/7bdblw70g
补丁目录下划线后为对应版本的发布时间:
1)SP5以及之后的版本可通过补丁管理工具上传补丁进行更新;
2)SP4以及以前的版本可使用aas-web-core.jar直接替换ApusicAS/aas/modules/目录下同名文件,再删除ApusicAS/aas/domains/mydomainosgi-cache目录下的缓存文件,重启应用服务器即可生效;
3)如果对应版本已经打个其他补丁或更新过程有问题,可以与产品部门联系。
3、产品版本查看方式
1、通过ApusicAS/aas/bin目录的asadmin命令查看,输入asadmin version,出现如下界面,红色部分为日期:
2、配置文件查看,打开文件ApusicAS/aas/config/aas-version.properties,查看build_id行,红色部分为日期:
