DB真人·(中国区)官方网站db多宝真人

若您无法正常查看此邮件，请点击 在线浏览 db多宝真人网络月度安全更新 2022年7月 db多宝真人产品月度安全更新 受影响产品 ecology 漏洞名称 管理后台任意文件上传漏洞(20220731) 漏洞组件 - 漏洞级别 高危 影响版本 ecology8.0/9.0 修复方法 1、升级安全补丁包至10.52及以上版本。 补丁地址 EC8.0及以上版本全量补丁 基于v10.45以上版本增量补丁 检测方法 用sysadmin登录，访问http://oa地址/security/checksec20220726.jsp，可查看检测结果。如果是404或检测结果有【未通过】项，则需要手动升级安全补丁。 (特别说明：E9系统升级v10.52补丁包，升级完成并检测通过后需要使用管理员登录，访问/mobilesmode/admin/genStaticpageAll.jsp进行数据初始化，避免移动建模页面异常。[如果升级之前的版本已做过此操作，无需再次执行]) 备注 ecology产品，强烈推荐部署安全防护模块（可联系客服或者项目同事获取），可较好的防护任意文件上传、远程命令执行、反序列化漏洞等高风险漏洞。 升级情况 已升级 未升级 无相关产品 升级环境 正式环境 测试环境 未升级原因 受影响产品 微搜 漏洞名称 log4j2远程命令执行漏洞 漏洞组件 log4j2 2.0-2.17.1 漏洞级别 严重 影响版本 微搜2.0版本 修复方法 升级微搜安全补丁包至最新版本 补丁地址 微搜2.0版本安全补丁下载 ElasticSearch安全补丁下载 检测方法 登录微搜管理后台，访问ip:8099/getSecurityInfo.jsp，返回中有1.08的字样，表示升级成功。 备注 1、受log4j2开源组件影响导致产品可能受此漏洞影响，故升级至官方推荐的安全版本。 2、微搜1.0版本不受此漏洞影响。 3、建议关闭微搜以下端口的互联网访问：8099、2098、8090、9300、20981 升级情况 已升级 未升级 无相关产品 升级环境 正式环境 测试环境 未升级原因 受影响产品 运维平台 漏洞名称 log4j2 远程命令执行漏洞 漏洞组件 log4j2 2.0-2.17.1 漏洞级别 严重 影响版本 运维平台<3.0.27 修复方法 升级运维平台至3.0最新版本 补丁地址 运维平台3.0补丁包 检测方法 登录运维平台：ip:9081/,查看运维平台版本号为3.0.27版本或者检查以下文件： 版本查看步骤： a.查看运维主程序版本：进入运维主程序的服务器，打开文件monitor3/app/config/monitorVersion.properties，查看其版本号为3.0.27即可。 b.查看运维代理（如果有）版本：进入运维代理的服务器，打开文件monitor-robot/app/conf/monitorVersion.properties，查看其版本号为3.0.27即可。 备注 1、受log4j开源组件影响导致产品可能受此漏洞影响，故升级至官方推荐的安全版本（2.18.0)。 2、建议关闭运维平台互联网访问：端口为9081端口 3、如果当前运维平台版本非3.0版本，直接安装3.0最新版本 升级情况 已升级 未升级 无相关产品 升级环境 正式环境 测试环境 未升级原因 受影响产品 移动管理平台(EM7) 漏洞名称 log4j2 远程命令执行漏洞 漏洞组件 log4j2 2.0-2.17.1 漏洞级别 严重 影响版本 移动管理平台(EM7)<20220731 修复方法 升级移动管理平台至20220731及以上版本 补丁地址 移动管理平台下载 检测方法 访问移动管理平台后台， 版本号显示为20220731版本即可。 备注 1、受log4j开源组件影响导致产品可能受此漏洞影响，故升级至官方推荐的安全版本（2.18.0)。 2、E8对应的云桥产品不受此漏洞影响。扫描器可能会扫描到一个log4j-api-2.17.1.jar的包，这个没有问题。官方也发布了云桥版本将这个jar包升级至2.18.0版本，也可以将云桥升级至最新版本。 下载地址：e-Bridge补丁包 升级情况 已升级 未升级 无相关产品 升级环境 正式环境 测试环境 未升级原因 受影响产品 nginx 漏洞名称 nginx远程命令执行漏洞 漏洞组件 nginx 漏洞级别 高危 影响版本 nginx<=1.21.5 修复方法 升级nginx至1.22.0版本。 补丁地址 Nginx远程代码执行漏洞之升级方案（2022-07-30） 检测方法 参考《Nginx远程代码执行漏洞之升级方案（2022-07-30）》文档检测 备注 根据现有情报1：该漏洞由于nginx ldap模块引发，我们部署的nginx默认并没有附带ldap模块，因此，根据该情报的漏洞利用条件，我们部署的nginx不受此漏洞影响。 情报2：根据护网期间的情报（7月30日），该nginx漏洞没有具体的利用方法流出，给出的修复方案是升级至1.22.0及以上版本即可。 提交反馈 db多宝真人预留手机号： 图形验证码： 短信验证码： 公司名称： 提交反馈 安全防护措施温馨提示 1、请定期修改密码，并确保密码是一个复杂密码，复杂密码的要求： a、长度至少13位及以上； b、同时包含大小写字母、数字和特殊字符； c、在键盘上没有明显的输入规律，比如：1qaz@WSX，比如该密码，看似是强密码，但在键盘上存在 明显输入规律，因此也容易破解。 2、请定期脱机备份核心数据（数据库、附件）； 3、建议关闭外网远程桌面，并重命名administrator账号。 往期安全提醒 202011 20201201 20201202 202103 202104 20210401 20210402 20210403 20210404 20210518 20210623 20210721 20210824 20211210 20211221 20211227 20220318 20220525 20220618 20220707 20220716 20220726 20220728 20220730 db多宝真人官网 关于我们 db多宝真人 Shanghai Weaver Network Technology Co.,Ltd