针对近期反馈的“金蝶EAS easWebClient 接口存在任意文件读取问题“。我司高度重视并立即组织相关人员进行核查,详细情况如下:
一、技术分析
报告中表明,EAS服务中存在/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml敏感文件可被下载。对此做如下说明:
金蝶 EAS 系统是基于金蝶 BOS 平台搭建的企业数字化转型的最佳实践,在产品迭代过程中不断演进,同时支持C/S和B/S两种模式,以满足客户在不同场景下的使用需求。
其中在C/S模式下,客户端基于java语言开发图形化界面,同时采用Smart Client技术,自动保持与服务端组件一致。产品更新时,补丁只需要在服务端安装(其中包含了客户端组件)。客户端检测到需要更新(对比文件MD5 hash值)时,先更新文件到本地,然后再加载组件。
为满足上述一致性要求,产品架构设计时增设/easWebClient路径提供客户端所需的检测更新服务,且对访问做了严格校验,禁止访问easWebClient以外的服务端运行文件。此次通报中涉及的/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml文件也在此范围内。
二、分析结论
easWebClient是EAS在C/S架构下提供给客户端下载运行期文件的服务,由于客户端也是基于java语言,所以也会包含如web.xml类型的文件。金蝶给客户端使用的文件,不属于敏感文件,不存在安全风险,因此这种情况不属于“敏感文件泄漏”。
三、佐证材料
报告中提及的/easWebClient/deploy/client/ctrlhome/webapps/extweb/WEB-INF/web.xml文件,其功能为客户端设计移动设备上使用的报表时,会在客户端本地启动WEB服务,模式实际使用应用,相关效果如下:
推荐阅读