案例分享:云星空文件上传漏洞修复过程原创
金蝶云社区-荣兰溪亭
荣兰溪亭
47人赞赏了该文章 1,505次浏览 未经作者许可,禁止转载编辑于2024年03月20日 09:54:52

问题现象

接网警反馈,云星空服务器存在文件上传漏洞;

测试结果显示如下图;

image.png


处理过程

1、查看云星空版本是 8.0.361.9,也就是20220922版本;

2、检查服务器环境,确认已安装加固补丁A;私有云安全加固整合补丁安装操作指南

3、检查website\bin,发现没有Kingdee.K3.SCM.SCP.RegBusiness.PlugIn.dll文件;

且common.config文件里面对应对应的配置项;

--由此确认该服务器环境上是没有安装文件上传漏洞对应的修复补丁的;

注:文件上传漏洞补丁修复检查方法,请参考:私有云文件上传漏洞修复公告

4、下载上述链接里面的文件上传漏洞修复补丁;

做好数据备份以及k3cloud文件夹的备份;

然后重启k3cloudmanger服务,开始安装文件上传漏洞的修复补丁;

补丁安装成功;

image.png

5、重新按上述步骤3里面的内容,检查;

确认website\bin下已有Kingdee.K3.SCM.SCP.RegBusiness.PlugIn.dll文件;

且common.config文件中已有‘SRM/ScpSupRegHandler’相关参数,如下图所示;

image.png

6、然后到uploadfiles文件夹,删除掉之前网警测试上传的文件,如下图所示;

image.png

7、然后重新按测试地址访问测试,已经不能打开了;如下图所示;

image.png

8、然后联系技术架构或网警去测试,确认已经不能通过这个漏洞去上传文件到服务器了;至此确认漏洞已修复成功。

image.png

赞 47