【重要】.Net 2.0系列產(chǎn)品5.7版升級(jí)及安全加固公告
尊敬的動(dòng)易用戶:
動(dòng)易軟件.Net 2.0系列產(chǎn)品5.6版本及更低版本的產(chǎn)品中,包括SmartGov、SiteFactory、SmartSchool、BizIdea等產(chǎn)品,近日發(fā)現(xiàn)存在SQL注入漏洞和后臺(tái)任意文件生成漏洞。
漏洞等級(jí):極度危險(xiǎn),強(qiáng)烈推薦升級(jí)至最新5.7版本。
如果是商業(yè)客戶,請(qǐng)聯(lián)系我們的銷售或客服人員以獲取商業(yè)版本的產(chǎn)品包和升級(jí)更新包。
如果是定制過功能的商業(yè)客戶,請(qǐng)先按照措施四中的方法修改標(biāo)簽以修復(fù)漏洞。
如果是標(biāo)準(zhǔn)版用戶,請(qǐng)點(diǎn)此進(jìn)入下載中心下載5.7版。
漏洞具體表現(xiàn)為:
一、在服務(wù)器防護(hù)不足的情況下,極有可能被黑客利用并向數(shù)據(jù)庫中注入惡意數(shù)據(jù),從而實(shí)現(xiàn)非法獲取網(wǎng)站后臺(tái)管理目錄、將普通管理員提升為超管、生成任意文件等高危操作,繼而導(dǎo)致網(wǎng)站被掛馬、快照被劫持等惡劣情況。
二、網(wǎng)站在運(yùn)營過程中存在以下安全薄弱問題,將導(dǎo)致黑客有機(jī)會(huì)以超級(jí)管理員身份進(jìn)入網(wǎng)站后臺(tái):
1. 網(wǎng)站后臺(tái)管理驗(yàn)證碼為默認(rèn)的8888或其它過于簡單的字符;
2. 網(wǎng)站后臺(tái)管理目錄為默認(rèn)的Admin或其它過于簡單的字符;
3. 網(wǎng)站后臺(tái)管理認(rèn)證碼與網(wǎng)站后臺(tái)目錄設(shè)置為相同的字符;
4. 管理員密碼哈希值為默認(rèn)的PowerEasy或其它過于簡單的字符;
5. 存在密碼過于簡單的管理員賬戶;
6. 管理員賬戶、密碼與其它互聯(lián)網(wǎng)平臺(tái)上的一致,導(dǎo)致密碼被撞庫攻擊命中。
我司在發(fā)現(xiàn)這些漏洞后,在第一時(shí)間組織公司全體研發(fā)力量修補(bǔ)該漏洞,現(xiàn)已發(fā)布動(dòng)易軟件.NET2.0 系列產(chǎn)品5.7版最新程序及相應(yīng)升級(jí)包。5.7版程序中已經(jīng)修復(fù)了SQL注入過濾不嚴(yán)和任意文件生成的問題,同時(shí)還對(duì)產(chǎn)品內(nèi)置的所有標(biāo)簽(大概一千多個(gè))進(jìn)行了檢查,將標(biāo)簽的參數(shù)的數(shù)據(jù)類型統(tǒng)一進(jìn)行了規(guī)范化處理,因此我們強(qiáng)烈建議您立即下載并升級(jí)您的網(wǎng)站。
此次SQL注入漏洞的根源在于SQL注入過濾方法的邏輯不嚴(yán)密,沒有遞歸過濾直到過濾掉所有攻擊代碼,而設(shè)計(jì)師在制作標(biāo)簽時(shí)為了容易調(diào)試,沒有嚴(yán)格按照規(guī)范設(shè)置標(biāo)簽參數(shù)的數(shù)據(jù)類型。雙重疊加導(dǎo)致了SQL注入漏洞的產(chǎn)生。因此可以采用“升級(jí)到5.7版”或“修改標(biāo)簽參數(shù)的數(shù)據(jù)類型”兩種方法中的任何一個(gè)都可以修復(fù)漏洞。但我們建議兩者都進(jìn)行,以確保安全。
除把網(wǎng)站升級(jí)至5.7版外,我們還強(qiáng)烈建議您按本文末的措施對(duì)服務(wù)器、數(shù)據(jù)庫、網(wǎng)站后臺(tái)進(jìn)行安全設(shè)置和檢查,以全面排除安全隱患,徹底清除可能存在的木馬文件和惡意注入的數(shù)據(jù),確保網(wǎng)站安全!
我司將認(rèn)真分析本次漏洞產(chǎn)生的原因,深刻檢討產(chǎn)品研發(fā)流程,改進(jìn)編碼規(guī)范,切實(shí)落實(shí)產(chǎn)品安全研發(fā)制度,盡一切努力,避免同類安全漏洞再次出現(xiàn)在產(chǎn)品中!
給您帶來的不便,我們深表歉意!
感謝您對(duì)動(dòng)易軟件的支持和理解。
廣東動(dòng)易軟件股份有限公司
2017年7月6日
【注意】
如果您的網(wǎng)站因?qū)嵤┻^定制改造、第三方功能開發(fā)等原因而不便升級(jí)到5.7版,您可以在執(zhí)行完本文措施一至措施三之后,按措施四的方法對(duì)網(wǎng)站上的標(biāo)簽進(jìn)行檢查和修改,保證允許AJAX訪問的標(biāo)簽沒有supersql(SQL超級(jí)參數(shù)型)類型的參數(shù)或含有supersql類型參數(shù)的標(biāo)簽不允許AJAX訪問,則仍能有效防止SQL注入漏洞被黑客利用。在產(chǎn)品升級(jí)包中,我們除了提供升級(jí)程序外,還提供了修復(fù)后的產(chǎn)品默認(rèn)標(biāo)簽,如果您沒有修改過這些產(chǎn)品默認(rèn)標(biāo)簽,則可以直接替換。如果修改過,則要對(duì)比修改。對(duì)于您自行編寫的標(biāo)簽,或者設(shè)計(jì)師在項(xiàng)目中編寫的標(biāo)簽,即非產(chǎn)品自帶的默認(rèn)標(biāo)簽,也需要全部排查和修復(fù),以免有疏漏。
措施一:檢查網(wǎng)站是否已被黑客入侵
http:/tech.powereasy.net/Item/4304.aspx
措施二:木馬文件及惡意注入數(shù)據(jù)清理
http:/tech.powereasy.net/Item/4306.aspx
措施三:服務(wù)器和網(wǎng)站安全加固
http:/tech.powereasy.net/Item/4305.aspx
措施四:不便升級(jí)的應(yīng)對(duì)措施
http:/tech.powereasy.net/Item/4308.aspx
延伸閱讀:動(dòng)易SiteFactory等產(chǎn)品5.7版以前版本的漏洞產(chǎn)生原因和利用方法
http:/tech.powereasy.net/Item/4317.aspx
用戶登錄
還沒有賬號(hào)?
立即注冊(cè)