近日,国家信息安全漏洞共享平台(CNVD)等一些安全机构反馈Apusic应用服务器存在文件上传、目录遍历、权限绕过、JNDI反序列化漏洞等安全问题,下文对这些问题进行分析以及对解决方案进行说明。
Apusic应用服务器的管控台存在访问路径权限控制失效、对参数校验不严格的问题,攻击者可以构建绕过权限控制的请求,恶意访问和操作管控台,导致安全风险。问题列表及修复情况如下所示:
1) JNDI反序列化漏洞:V9.0 SP7及以下版本存在该问题,2023年8月已经修复
2) 任意文件下载:V9.0 SP7及以下版本存在该问题,2023年4月已经修复
3) 目录遍历:V9.0 SP7及以下版本存在该问题,2022年8月已经修复
4) 文件删除:V9.0 SP7及以下版本存在该问题,2022年5月已经修复
5) 外链异常:V9.0 SP6及以下版本存在该问题,SP7及高版本已经修复
6) 权限绕过:V9.0 SP6及以下版本存在该问题,SP7及高版本已经修复
以上遇到的安全问题,已经在最新的V9.0 SP8版本解决,可以在http://file.apusic.com/sharing/NWWuyE3Q6下载使用。
1. 临时处理方案
停止应用服务器后,进行如下的操作
1) 暂停应用服务器管理控制台和移除默认首页。
普通的管理控制台的安装文件: <安装目录>\lib\webtool.war
安全管理控制台的安全文件: <安装目录>\lib\admin.war
首页在<应用服务器安装目录>\domains\mydomain\applications\ default\public_html\index.jsp
操作步骤:移除上述文件(webtool.war或admin.war、index.jsp)
2) 更新补丁任意文件下载问题修复补丁
在地址http://file.apusic.com/sharing/vVHoyV0jR的 “任意文件下载问题补丁”目录下,下载修复该漏洞的补丁,不同的版本下载的不同的补丁:
V9.0 SP1/SP2版本下载文件名为fix-over-authority-sp1-2.jar的补丁;
V9.0 SP3版本下载文件名为fix-over-authority-sp3.jar的补丁;
V9.0 SP4/SP5版本下载文件名为fix-over-authority-sp4-5.jar的补丁;
V9.0 SP6/SP7版本下载文件名为fix-over-authority-sp6-7.jar的补丁;
把下载的补丁文件拷贝到<安装目录>\sp目录下。
3) 重新启动应用服务器,访问系统确认是否正常。
备注:如果应用系统与应用服务器进行了集成,如m6米乐中国的EAS、S-HR系统,需要与应用开发部门确认是否使用到管理控制台,如果使用到,确认管控台目录与文件名称,然后进行处理。
2. 永久解决方案
1) 补丁升级的方式
适用于V9.0 系列版本,如SP5/SP6/SP7等,从地址http://file.apusic.com/sharing/vVHoyV0jR下载对应的补丁文件admin.war,webtool.war,razor.jar和index.jsp文件;
在“任意文件下载问题补丁”目录下,下载修复任意下载文件的补丁:
V9.0 SP1/SP2版本下载文件名为fix-over-authority-sp1-2.jar的补丁;
V9.0 SP3版本下载文件名为fix-over-authority-sp3.jar的补丁;
V9.0 SP4/SP5版本下载文件名为fix-over-authority-sp4-5.jar的补丁;
V9.0 SP6/SP7版本下载文件名为fix-over-authority-sp6-7.jar的补丁;
更新升级如下操作步骤:
1、停止应用服务器,备份对应的文件(admin.war或webtool.war、razor.jar、index.jsp);
2、把razor.jar覆盖<安装目录>\lib\目录下对应的文件;
3、如果<安装目录>\lib\目录下存在webtool.war,则使用webtool.war文件进行覆盖;如果<安装目录>\lib\目录下存在admin.war,把使用admin.war文件进行覆盖(webtool.war与admin.war不同时使用);
4、通过在<安装目录>\domains\mydomain\vm.options文件,设置参数控制访问管控台的远程客户端(默认只能服务器本机能访问),下面例子是设置172.168.1.2可以访问,根据实际修改,多个地址用逗号分隔:
com.apusic.admin.allowHosts=172.168.1.2
com.apusic.webtool.allowHosts=172.168.1.2
5、把index.jsp覆盖到<安装目录>\domains\mydomain\applications\ default\public_html\目录下
6、把下载的修复任意文件下载的补丁文件拷贝到<安装目录>\sp目录下
7、重新启动应用服务器
8、访问确认系统是否正常访问。
2)产品包完全替换的方式
从地址http://file.apusic.com/sharing/NWWuyE3Q6下载完整的应用服务器V9.0 SP8产品包进行使用,包含了所有修改的安全内容。
管控台的远程客户端(默认只能服务器本机能访问),下面例子是设置172.168.1.2可以访问,根据实际修改,多个地址用逗号分隔:
com.apusic.admin.allowHosts=172.168.1.2
com.apusic.webtool.allowHosts=172.168.1.2