产品要闻
新闻中心
实时新闻,实时资讯

金蝶天燕应用服务器V9.0安全漏洞的修复处理说明

  • 发布时间:2023-12-07 09:53:22
  • 分享:

近日,国家信息安全漏洞共享平台(CNVD)等一些安全机构反馈Apusic应用服务器存在文件上传、目录遍历、权限绕过、JNDI反序列化漏洞等安全问题,下文对这些问题进行分析以及对解决方案进行说明。

一、问题分析

Apusic应用服务器的管控台存在访问路径权限控制失效、对参数校验不严格的问题,攻击者可以构建绕过权限控制的请求,恶意访问和操作管控,导致安全风险。问题列表及修复情况如下所示:

1) JNDI反序列化漏洞:V9.0 SP7及以下版本存在该问题,20238已经修复

2) 任意文件下载:V9.0 SP7及以下版本存在该问题,20234已经修复

3) 目录遍历:V9.0 SP7及以下版本存在该问题,20228月已经修复

4) 文件删除:V9.0 SP7及以下版本存在该问题,20225月已经修复

5) 外链异常V9.0 SP6及以下版本存在该问题,SP7及高版本已经修复

6) 权限绕过:V9.0 SP6及以下版本存在该问题,SP7及高版本已经修复

以上遇到的安全问题,已经在最新的V9.0 SP8版本解决,可以在http://file.apusic.com/sharing/NWWuyE3Q6下载使用。

二、处理方案

1. 临时处理方案

停止应用服务器后,进行如下的操作

1) 暂停应用服务器管理控制台和移除默认首页。

普通的管理控制台的安装文件: <安装目录>\lib\webtool.war

安全管理控制台的安全文件: <安装目录>\lib\admin.war

首页在<应用服务器安装目录>\domains\mydomain\applications\ default\public_html\index.jsp

操作步骤:移除上述文件(webtool.waradmin.warindex.jsp)

2) 更新补丁任意文件下载问题修复补丁

在地址http://file.apusic.com/sharing/vVHoyV0jR 任意文件下载问题补丁目录下,下载修复该漏洞的补丁,不同的版本下载的不同的补丁:

V9.0 SP1/SP2版本下载文件名为fix-over-authority-sp1-2.jar的补丁;

V9.0 SP3版本下载文件名为fix-over-authority-sp3.jar的补丁;

V9.0 SP4/SP5版本下载文件名为fix-over-authority-sp4-5.jar的补丁;

V9.0 SP6/SP7版本下载文件名为fix-over-authority-sp6-7.jar的补丁;

把下载的补丁文件拷贝到<安装目录>\sp目录下。

3) 重新启动应用服务器,访问系统确认是否正常。

备注:如果应用系统与应用服务器进行了集成,如金蝶中国的EASS-HR系统,需要与应用开发部门确认是否使用到管理控制台,如果使用到,确认管控台目录与文件名称,然后进行处理。

2. 永久解决方案

1) 补丁升级的方式

适用于V9.0 系列版本,如SP5/SP6/SP7,从地址http://file.apusic.com/sharing/vVHoyV0jR下载对应的补丁文件admin.warwebtool.warrazor.jarindex.jsp文件

任意文件下载问题补丁目录下,下载修复任意下载文件的补丁:

V9.0 SP1/SP2版本下载文件名为fix-over-authority-sp1-2.jar的补丁;

V9.0 SP3版本下载文件名为fix-over-authority-sp3.jar的补丁;

V9.0 SP4/SP5版本下载文件名为fix-over-authority-sp4-5.jar的补丁;

V9.0 SP6/SP7版本下载文件名为fix-over-authority-sp6-7.jar的补丁;

更新升级如下操作步骤:

1、停止应用服务器,备份对应的文件(admin.warwebtool.warrazor.jarindex.jsp)

2、razor.jar覆盖<安装目录>\lib\目录下对应的文件

3、如果<安装目录>\lib\目录下存在webtool.war,则使用webtool.war文件进行覆盖;如果<安装目录>\lib\目录下存在admin.war,把使用admin.war文件进行覆盖(webtool.waradmin.war不同时使用)

4、通过在<安装目录>\domains\mydomain\vm.options文件,设置参数控制访问管控台的远程客户端(默认只能服务器本机能访问),下面例子是设置172.168.1.2可以访问,根据实际修改,多个地址用逗号分隔:

com.apusic.admin.allowHosts=172.168.1.2

com.apusic.webtool.allowHosts=172.168.1.2

5、index.jsp覆盖到<安装目录>\domains\mydomain\applications\ default\public_html\目录下

6、把下载的修复任意文件下载的补丁文件拷贝到<安装目录>\sp目录下

7、重新启动应用服务器

8、访问确认系统是否正常访问。

2)产品包完全替换的方式

从地址http://file.apusic.com/sharing/NWWuyE3Q6下载完整的应用服务器V9.0 SP8产品包进行使用,包含了所有修改的安全内容。

管控台的远程客户端(默认只能服务器本机能访问),下面例子是设置172.168.1.2可以访问,根据实际修改,多个地址用逗号分隔:

com.apusic.admin.allowHosts=172.168.1.2

com.apusic.webtool.allowHosts=172.168.1.2