1. AS电玩

    若您无法正常查看此邮件,请点击 在线浏览
    AS电玩网络月度安全更新
    2023年4月
    AS电玩产品月度安全更新
    受影响产品 ecology
    漏洞名称 SQL注入漏洞及拒绝服务漏洞 漏洞组件 commons-fileupload
    漏洞级别 高危 影响版本 ecology8.0-9.0
    修复方法 1、升级安全补丁包至10.57及以上版本。
    补丁地址 EC9.0全量补丁
    基于10.56的增量补丁(EC9.0)
    EC8.0全量补丁
    基于10.56的增量补丁(EC8.0)
    检测方法 用sysadmin登录,访问https://oa地址/security/checksec20230418.jsp,可查看检测结果。如果是404或检测结果有【未通过】项,则需要手动升级安全补丁。
    备注 1、升级commons-fileupload至1.5.0版本
    2、升级dubbo至2.7.22版本
    3、本次因涉及到jar包升级,不支持自动更新。建议通过运维平台升级,避免出现文件覆盖错误或者损坏之类的问题。如果不确定是否升级过10.56的全量补丁包,请选择全量补丁包升级,避免出现问题。
    升级情况 已升级 未升级 无相关产品
    受影响产品 移动管理平台(emobile7,对应ecology9.0产品)
    漏洞名称 actuator信息泄露 漏洞组件 spring
    漏洞级别 中危 影响版本 移动管理平台(7.0<=emobile<20230324)
    修复方法 升级移动管理平台至最新版本
    补丁地址 移动平台补丁包(MD5:f0656bb92d2aa1abc0b3392aafca88e9)
    检测方法 升级后,访问移动管理平台后台,如果版本号>=20230324,说明升级成功。
    备注 1、建议关闭以下端口的互联网访问:8099、2098、3098、8090、9300、20981、9090、9081
    2、ecology产品,强烈推荐部署安全防护模块(可联系客服或者项目同事获取),可较好的防护任意文件上传、远程命令执行、反序列化漏洞等高风险漏洞。
    升级情况 已升级 未升级 无相关产品
    提交反馈
    AS电玩预留手机号:
    图形验证码:
    短信验证码:
    安全防护措施温馨提示
    1、请定期修改密码,并确保密码是一个复杂密码,复杂密码的要求:
    a、长度至少13位及以上;
    b、同时包含大小写字母、数字和特殊字符;
    c、在键盘上没有明显的输入规律,比如:1qaz@WSX,比如该密码,看似是强密码,但在键盘上存在
    明显输入规律,因此也容易破解。
    2、请定期脱机备份核心数据(数据库、附件);
    3、建议关闭外网远程桌面,并重命名administrator账号。
    往期安全提醒
    202011
     20201201
     20201202
     202103
     202104
     20210401
     20210402
     20210403
     20210404
     20210518
     20210623
     20210721
     20210824
     20211210
         		20211221
     20211227
     20220318
     20220525
     20220618
     20220707
     20220716
     20220726
     20220728
     20220730
     20220731
     20220804
     20220805
     20221014
         		20230213
    AS电玩官网 关于AS电玩 联系AS电玩
    		Shanghai Weaver Network Technology Co.,Ltd