【重要】.Net 2.0系列产品5.7版升级及安全加固公告
尊敬的动易用户:
动易软件.Net 2.0系列产品5.6版本及更低版本的产品中,包括SmartGov、SiteFactory、SmartSchool、BizIdea等产品,近日发现存在SQL注入漏洞和后台任意文件生成漏洞。
漏洞等级:极度危险,强烈推荐升级至最新5.7版本。
如果是商业客户,请联系我们的销售或客服人员以获取商业版本的产品包和升级更新包。
如果是定制过功能的商业客户,请先按照措施四中的方法修改标签以修复漏洞。
如果是标准版用户,请点此进入下载中心下载5.7版。
漏洞具体表现为:
一、在服务器防护不足的情况下,极有可能被黑客利用并向数据库中注入恶意数据,从而实现非法获取网站后台管理目录、将普通管理员提升为超管、生成任意文件等高危操作,继而导致网站被挂马、快照被劫持等恶劣情况。
二、网站在运营过程中存在以下安全薄弱问题,将导致黑客有机会以超级管理员身份进入网站后台:
1. 网站后台管理验证码为默认的8888或其它过于简单的字符;
2. 网站后台管理目录为默认的Admin或其它过于简单的字符;
3. 网站后台管理认证码与网站后台目录设置为相同的字符;
4. 管理员密码哈希值为默认的PowerEasy或其它过于简单的字符;
5. 存在密码过于简单的管理员账户;
6. 管理员账户、密码与其它互联网平台上的一致,导致密码被撞库攻击命中。
我司在发现这些漏洞后,在第一时间组织公司全体研发力量修补该漏洞,现已发布动易软件.NET2.0 系列产品5.7版最新程序及相应升级包。5.7版程序中已经修复了SQL注入过滤不严和任意文件生成的问题,同时还对产品内置的所有标签(大概一千多个)进行了检查,将标签的参数的数据类型统一进行了规范化处理,因此我们强烈建议您立即下载并升级您的网站。
此次SQL注入漏洞的根源在于SQL注入过滤方法的逻辑不严密,没有递归过滤直到过滤掉所有攻击代码,而设计师在制作标签时为了容易调试,没有严格按照规范设置标签参数的数据类型。双重叠加导致了SQL注入漏洞的产生。因此可以采用“升级到5.7版”或“修改标签参数的数据类型”两种方法中的任何一个都可以修复漏洞。但我们建议两者都进行,以确保安全。
除把网站升级至5.7版外,我们还强烈建议您按本文末的措施对服务器、数据库、网站后台进行安全设置和检查,以全面排除安全隐患,彻底清除可能存在的木马文件和恶意注入的数据,确保网站安全!
我司将认真分析本次漏洞产生的原因,深刻检讨产品研发流程,改进编码规范,切实落实产品安全研发制度,尽一切努力,避免同类安全漏洞再次出现在产品中!
给您带来的不便,我们深表歉意!
感谢您对动易软件的支持和理解。
广东动易软件股份有限公司
2017年7月6日
【注意】
如果您的网站因实施过定制改造、第三方功能开发等原因而不便升级到5.7版,您可以在执行完本文措施一至措施三之后,按措施四的方法对网站上的标签进行检查和修改,保证允许AJAX访问的标签没有supersql(SQL超级参数型)类型的参数或含有supersql类型参数的标签不允许AJAX访问,则仍能有效防止SQL注入漏洞被黑客利用。在产品升级包中,我们除了提供升级程序外,还提供了修复后的产品默认标签,如果您没有修改过这些产品默认标签,则可以直接替换。如果修改过,则要对比修改。对于您自行编写的标签,或者设计师在项目中编写的标签,即非产品自带的默认标签,也需要全部排查和修复,以免有疏漏。
措施一:检查网站是否已被黑客入侵
http:/tech.powereasy.net/Item/4304.aspx
措施二:木马文件及恶意注入数据清理
http:/tech.powereasy.net/Item/4306.aspx
措施三:服务器和网站安全加固
http:/tech.powereasy.net/Item/4305.aspx
措施四:不便升级的应对措施
http:/tech.powereasy.net/Item/4308.aspx
延伸阅读:动易SiteFactory等产品5.7版以前版本的漏洞产生原因和利用方法
http:/tech.powereasy.net/Item/4317.aspx
用户登录
还没有账号?
立即注册