尊敬的用戶:
您好!感謝您一直以來對順景軟件的支持與信任����。
為了提供更穩(wěn)定、高效�����、安全的服務(wù)���,我們計(jì)劃進(jìn)行系統(tǒng)升級和優(yōu)化。
在此我們向您發(fā)布系統(tǒng)升級通知:
安全更新內(nèi)容:
1����、 修復(fù)UploadInvtSpFile存在任意文件上傳漏洞
2、修復(fù)FileUpload存在任意文件上傳漏洞
修復(fù)方法:
一����、漏洞描述
1.原系統(tǒng)存在未授權(quán)(匿名情況下可以上傳)文件上傳接口,未對上傳文件類型進(jìn)行嚴(yán)格校驗(yàn)
2.攻擊者可繞過限制上傳惡意文件(如.jsp����、.php、.exe���、.asp等)
3.可能導(dǎo)致服務(wù)器被植入木馬����、數(shù)據(jù)泄露�����、系統(tǒng)癱瘓等風(fēng)險(xiǎn)
二���、漏洞處理措施
1. 接口層安全加固
2.文件類型白名單控制
3. 特殊業(yè)務(wù)場景隔離(cgInvtSp/UploadInvtSpFile接口)
** 因?yàn)樯婕爸匾踩?����,建議用戶及時(shí)升級服務(wù)器程序及WebAPI至2.0 Build(1.0.0.0.3.4)版本 **
安裝升級包下載地址:
升級操作指引:
1���、
系統(tǒng)升級程序?yàn)?雙擊運(yùn)行;
第一步先點(diǎn)擊數(shù)據(jù)庫檢查,升級程序?qū)詣?dòng)檢查與數(shù)據(jù)庫連接是否正常����,如不正常將會在DBState提示連接失敗;
2、檢查數(shù)據(jù)成功后�����,在DBState則會顯示連接正常,勾選需要升級的數(shù)據(jù)庫��,然后點(diǎn)擊升級數(shù)據(jù)庫�����,程序就會自動(dòng)進(jìn)行升級�����,完成后系統(tǒng)會提示數(shù)據(jù)庫腳本升級完成點(diǎn)擊確定后即可;
3���、數(shù)據(jù)庫頁面升級完成后����,還需要升級應(yīng)用程序;第一步先點(diǎn)擊應(yīng)用程序頁面(如下圖)����,第二步點(diǎn)擊更新程序,提示更新完成后�����,點(diǎn)擊確定�,完成系統(tǒng)升級;
4����、升級WebAPI,將安裝包內(nèi)對應(yīng)程序的WebAPI文件至系統(tǒng)安裝目錄下WfSoftErpWebAPI文件進(jìn)行替換升級;
溫馨提示:網(wǎng)絡(luò)安全���,不容小覷
1�、檢查windows是否最新����,更新Windows補(bǔ)丁包;
2��、開啟Windows防火墻���,不使用常用端囗80�、3389���、21等;
3�����、安裝殺毒軟件�����,定期全盤掃描;
4����、把TTX軟件更新到最新版:
5、平臺賬號密碼使用復(fù)雜密碼�����,勾選安全測評中的密碼加密��、密碼強(qiáng)度校驗(yàn)等功能;
6��、定期做好數(shù)據(jù)備份;
