AS电玩安全更新提醒

AS电玩网络月度安全更新

2022年05月

AS电玩产品月度安全更新

受影响产品	ecology
漏洞名称	fastjson反序列化漏洞	漏洞组件	fastjson
漏洞级别	高危	影响版本	ecology7.0-ecology9.0
修复方法	升级安全补丁包至最新版本
补丁地址	EC7.0及以下版本安全补丁 EC8.0及以上版本安全补丁
检测方法	用sysadmin登录，访问https://oa地址/security/checksec20220525.jsp，可查看检测结果。如果是404或检测结果有【未通过】项，则需要手动升级安全补丁。
备注	1、建议关闭以下端口的互联网访问：8099、2098、8090、9300、20981、9090、9081 2、ecology产品，建议部署安全防护模块（可联系客服或者项目同事获取），可较好的防护任意文件上传、远程命令执行、反序列化漏洞等高风险漏洞。
升级情况	已升级未升级无相关产品
升级环境	正式环境测试环境
未升级原因

受影响产品	移动管理平台
漏洞名称	fastjson反序列化漏洞	漏洞组件	fastjson
漏洞级别	高危	影响版本	emobile7.0
修复方法	升级EMobile7.0至最新版本
补丁地址	移动平台补丁包信创环境升级特殊说明：关于国产化fastjson反序列化漏洞升级em7启动报错问题解决方式.docx
检测方法	升级后，访问移动管理平台后台，如果版本号>=20220523，说明升级成功。
备注	务必确保管理平台的密码已经修改为复杂密码。（包括8999和9090端口对应的后台登录密码）
升级情况	已升级未升级无相关产品
升级环境	正式环境测试环境
未升级原因

受影响产品	运维平台
漏洞名称	fastjson反序列化漏洞	漏洞组件	fastjson
漏洞级别	高危	影响版本	版本号：<3.0.26
修复方法	升级运维平台至最新版本
补丁地址	运维平台3.0补丁包升级手册.docx
检测方法	1、如果运维平台是3.0版本的，参考《运维平台3.0补丁包升级手册.docx》手册进行检查。生成成功与否的方法：在服务器monitor3/app/config/monitorVersion.properties文件中可以查看运维平台3.0当前版本，版本号>=3.0.26表示升级成功。 2、如果运维平台是2.0版本的，请直接安装3.0版本的运维平台即可。
备注	1、受fastjson开源组件影响导致产品可能受此漏洞影响，故升级至官方推荐的安全版本（1.2.83)。 2、建议关闭运维平台互联网访问：端口为9081端口
升级情况	已升级未升级无相关产品
升级环境	正式环境测试环境
未升级原因

受影响产品	emessage【E8配套的私有云消息服务产品，不包含E9】
漏洞名称	fastjson反序列化漏洞	漏洞组件	fastjson
漏洞级别	高危	影响版本	emssage版本<5.0.20220523
修复方法	升级emessage至最新版本
补丁地址	E8私有云服务端更新包
检测方法	升级后，访问emessage管理平台后台，如果版本号>=5.0.20220523 ，说明升级成功。
备注	务必确保管理平台的密码已经修改为复杂密码。（9090端口对应的后台登录密码）
升级情况	已升级未升级无相关产品
升级环境	正式环境测试环境
未升级原因

提交反馈

安全防护措施温馨提示

1、请定期修改密码，并确保密码是一个复杂密码，复杂密码的要求：

a、长度至少13位及以上；
b、同时包含大小写字母、数字和特殊字符；
c、在键盘上没有明显的输入规律，比如：1qaz@WSX，比如该密码，看似是强密码，但在键盘上存在
明显输入规律，因此也容易破解。

2、请定期脱机备份核心数据（数据库、附件）；

3、建议关闭外网远程桌面，并重命名administrator账号。

往期安全提醒

202011
20201201
20201202
202103
202104
20210401
20210402
20210403
20210404
20210518
20210623
20210721
20210824
20211210

20211221
20211227
20220318

AS电玩官网

关于AS电玩

联系AS电玩

Shanghai Weaver Network Technology Co.,Ltd