EAS及EAS Cloud安全公告原创
技术支持公告专用
53人赞赏了该文章
8144次浏览
编辑于2021年02月01日 14:06:42
接国家互联网应急中心(CNCERT)《关于金蝶EAS Cloud存在文件上传漏洞的情况通报》、《关于金蝶EAS Cloud存在信息泄露漏洞的情况通报》、《关于金蝶EAS系统存在目录遍历漏洞的情况通报》、《关于金蝶EAS系统存在信息泄露漏洞的情况通报》。我们组织研发人员立即进行分析,并确认了其中存在的安全风险,第一时间针对受影响的EAS及EAS Cloud版本发放安全补丁。
请所有当前正在使用下述版本的客户第一时间更新安全加固补丁,否则漏洞可能被利用对系统造成破坏和信息泄漏,具体补丁信息如下:
| 产品版本 | 领域:补丁号 |
| EAS v8.0 | BOS_PORTAL:PT156715 |
| EAS v8.2 | BOS_PORTAL:PT156716, CONSOLE:PT156772 |
| EAS v8.5 | BOS_PORTAL:PT156717, CONSOLE:PT156629 |
| EAS Cloud v8.6 私有云 | BOS_PORTAL:PT156713, CONSOLE:PT156775 |
| EAS Cloud v8.6 公有云 | BOS_PORTAL:PT156712, CONSOLE:PT156782 |
| EAS Cloud v8.6 SP1 | BOS_PORTAL:PT156714, CONSOLE:PT156773 |
为减少补丁对产品正常运行的影响,除EAS 8.0 PT156715会依赖控制台补丁PT098975外,其他版本补丁均无依赖,请大家放心安装。
特别说明,补丁安装后:
1、为了避免敏感信息泄漏,未登录系统的用户将不允许访问easportal/tools下的页面,比如threaddump.jsp,apusicjdbctrace.jsp等。访问这些页面时,会跳到登录页面,请登录系统后再访问。
2、Web管理控制台中的目录浏览及日志下载功能因安全风险将屏蔽无法使用。
3、后续如果要安装流程中心领域(BOS_PROCESSCENTER)的补丁,必须安装2021年1月28日以后发放的最新补丁,以免相关文件的有漏洞版本被再次安装。
EAS Cloud产品部 EAS Cloud技术支持部
2021.1.30
推荐阅读