EC9.0全量补丁
官方版本:10.61    运行环境:Windows/Linux
更新时间:2024-04-15
补丁包校验码文件
基于10.56+增量补丁(EC9.0)
官方版本:10.61    运行环境:Windows/Linux
更新时间:2024-04-15
补丁包校验码文件
EC8.0全量补丁
官方版本:10.61    运行环境:Windows/Linux
更新时间:2024-04-15
补丁包校验码文件
基于10.56+增量补丁(EC8.0)
官方版本:10.61    运行环境:Windows/Linux
更新时间:2024-04-15
补丁包校验码文件
基于10.60增量补丁(EC9.0)
官方版本:10.61    运行环境:Windows/Linux
更新时间:2024-04-15
补丁包校验码文件
基于10.60增量补丁(EC8.0)
官方版本:10.61    运行环境:Windows/Linux
更新时间:2024-04-15
补丁包校验码文件
EC7.0及以下版本安全补丁
官方版本:6.50    运行环境:Windows/Linux
更新时间:2022-05-25
MD5:C6A8FADDA3E38A412C2C22C19D229EC5
RASP防护模块安装包
官方版本:2.0.5    运行环境:Windows/Linux
更新时间:2022-11-07
MD5:5ed111a3da49a83f5ec6b4a729bad951
RASP防护模块部署手册
官方版本:2.0.5
更新时间:2022-08-22
MD5:c65ba5d7dee18a564a2802334ed538fe
RASP防护模块升级包
官方版本:2.0.5    运行环境:Windows/Linux
更新时间:2022-11-07
MD5:b218226ca46e02ba7008b40de8b49e62
RASP防护模块升级手册
官方版本:2.0.5
更新时间:2022-08-22
MD5:83a9b9bd632dfe8995c28834ba6f748c
ECOLOGY安全补丁配置说明
 
更新时间:2022-07-16
系统运行安全建议
 
更新时间:2022-07-16
说明
*
特别提醒:
请定期修改密码(包括各个产品线如Emobile管理后台、ecology账号、云桥管理后台、emessage管理后台、运维平台等),并确保密码是一个复杂密码,复杂密码的要求:
a、长度至少13位及以上;
b、同时包含大小写字母、数字和特殊字符;
c、在键盘上没有明显的输入规律,比如:1qaz@WSX,比如该密码,看似是强密码,但在键盘上存在明显输入规律,因此也容易破解。
*
特别说明:
E9系统升级v10.52补丁包,升级完成并检测通过后需要使用管理员登录,访问/mobilemode/admin/genStaticpageAll.jsp进行数据初始化,避免移动建模页面异常。[如果升级之前的补丁包已经做过此操作,可不必再次访问。]
0
查看安全包是否生效及修复的办法
1、用sysadmin登录系统,访问:/security/monitor/Monitor.jsp;
2、查看【环境信息】tab页,可以看到当前安全包版本;
3、在【安全概要】tab页,可以看到安全包是否生效;
4、如果显示为未开启,在【安全体检】里面点击【检测】,检测后会弹出【修复】按钮,点击【修复】;
5、修复完成后会弹出 具体的修复步骤(主要就是替换文件),按照修复步骤操作即可
6、如果按上面5步修复完成后仍显示未开启,请在【安全开启详情】tab页的第一项点击【开启】。
1
请先下载【ECOLOGY安全补丁】和【ECOLOGY安全补丁配置说明】,按照【ECOLOGY安全补丁配置说明】中的【Ecology系统安全安装说明】文件进行部署升级。
2
如果是首次打安全补丁包,则在WEB-INF/目录下没有weaver_security_config.xml文件,可以先重启下服务,会自动生成weaver_security_config.xml文件。
3
如果有升级系统的KB补丁包或者是进行大版本升级,建议重新从本页面下载最新安全补丁包重新覆盖。
3
ECOLOGY安全补丁包可以适应以下版本的ECOLOGY

Resin1.x+Ecology5.0及以上版本

4
如果您的e-cology运行在WEBLOGIC环境下,亦可直接打本安全补丁。
5
如果系统做了比较多的二次开发,为了保险起见,建议先在生产环境上打上安全补丁包,但延缓启用安全补丁包(可以解决一些无需配置的严重问题,比如敏感信息未授权访问等。但不会影响到系统功能)。在测试环境上对常用功能尤其是二次开发的功能进行测试后再正式启用生产环境上的安全包功能。
6
对于有二次开发的客户,打上本安全补丁包后可能的影响及解决方案

1、对于直接传输危险字符(如count(、substr(、等)的sql语句的参数,可能会被安全包拦截;

2、对于从5.0/6.0/7.0升级到8.0的客户,如果二次开发页面采用了GBK编码传输数据,那么中文可能会无法获取到;

3、对于5.0/6.0/7.0的客户,如果二次开发页面采用了UTF-8编码传输数据,那么通过getParameter获取中文时可能会出现乱码。

以上问题的解决方案(具体配置可参考《Ecology系统安全配置说明.docx》中相关章节描述)

1、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<excepts>
<url>/keygenerator/KeyGeneratorOperation.jsp</url>
<url>/keygenerator/KeyGeneratorOriginalOperation.jsp</url>
</excepts>
 如此,该页面的参数将不会进行安全性检查。

2、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<dev-list>
<special>
<encoding>GBK</encoding>
<paths>
<path>/hrm/performance/[a-zA-Z0-9]\.jsp</path>
<path>/hrm/performance/checkScheme/</path>
</paths>
</special>
</dev-list>
 如此,该页面的参数将会以GBK的编码接收。

3、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<dev-list>
<special>
<encoding>UTF-8</encoding>
<paths>
<path>/messager/</path>
<path>/newportal/contactssearch.jsp/</path>
</paths>
</special>
</dev-list>
 如此,该页面的参数将会以UTF-8的编码接收。

7
如果系统做了较多的二次开发,请务必仔细阅读《Ecology系统安全配置说明.docx》,掌握二次开发功能受影响时快速通过配置的方式解决问题。
8
修改了与安全规则有关的xml文件(请使用Editplus、Notepad++、Ultra等编辑器编辑,不要使用记事本、写字板等工具编辑。)时,修改完成后,可以不需要重启Resin,请用系统管理员登录系统,然后访问:http://oa地址/updateRules.jsp(如:http://e8.e-cology.com.cn/updateRules.jsp),让刚修改的规则库文件即时生效。如果是集群环境,请在每个节点上都执行以下这个jsp。
9
更新该安全补丁包后,如果发现http://oa地址/services/无法访问,那么请参照以下步骤添加例外:将需要调用该WEBSERVICE的IP添加到白名单中即可

可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(IP可以指定某个网段,也可以指定具体IP):
<webservice-ip-list>
<ip>80.16.</ip>
</webservice-ip-list>
 如此,这些IP就能正常访问webservice了。

更新日志
2024-04-15(v10.61)
144、修复安全漏洞。
145、新增通用安全防护规则。
2024-02-22(v10.60)
143、修复安全漏洞。
2023-12-18(v10.60)
141、修复新发现的安全漏洞。
142、修复功能bug
143、基于10.58.7的补丁包,主要是针对已经升级到了10.58.7补丁的客户可以直接使用该补丁包,减少补丁包体积以及减少文件更新。
2023-08-21(v10.58.7)
140、修复安全漏洞。
2023-08-16(v10.58.6)
138、修复安全漏洞。
139、修复EM7和云桥同步人员卡慢的问题
2023-08-14(v10.58.5)
135、修复安全漏洞。
136、修复E8从流程打开附件或者正文弹框报错的问题
137、修复签章图片无法显示的问题
2023-08-10(v10.58.4)
134、修复安全漏洞。
2023-07-25(v10.58.3)
133、修复安全漏洞。
2023-07-13(v10.58.2)
132、修复安全漏洞。
2023-07-11(v10.58.1)
130、优化性能
131、修复XXE注入漏洞
2023-07-07(v10.58.0)
129、修复新发现的安全漏洞(XXE注入漏洞)
2023-05-15(v10.57.2)
128、修复升级10.57补丁包后,部分环境出现数据库连接泄露的问题及高并发下出现的性能问题。
2023-04-20(v10.57.1)
127、修复E9升级10.57补丁包后,docx文件预览失败的问题。
2023-04-19(v10.57)
126、修复升级10.57补丁包后,动态密码功能失效的问题。
2023-04-18(v10.57)
125、修复新发现的安全漏洞
>升级commons-fileupload至1.5.0版本
>升级dubbo至2.7.22版本
>增加全局防护任意命令执行漏洞
2023-02-15(v10.56)
124、将原来《EC8.0及以上版本全量补丁》拆分为《EC9.0全量补丁》和《EC8.0全量补丁》,原因是本次补丁更新的jar包,8.0版本和9.0版本出现冲突,因此不得不拆分成两个包升级。请根据自身版本选择合适的包升级。
2023-02-13(v10.56)
123、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
2022-11-07(raspV2.0.5)
122、RASP防护模块性能优化
2022-10-14(v10.55)
121、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
2022-08-22(raspV2.0.4)
120、RASP防护模块性能优化
2022-08-15(v10.54)
119、优化10.52及以上补丁包引发的系统性能问题。
2022-08-05(v10.54)
118、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
2022-08-04(v10.53)
117、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
2022-07-31(v10.52)
116、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
(特别说明:E9系统升级v10.52补丁包,升级完成并检测通过后需要使用管理员登录,访问/mobilemode/admin/genStaticpageAll.jsp进行数据初始化,避免移动建模页面异常。[如果升级v10.49已经做过此操作,可不必再次访问。])
2022-07-28(v10.50)
115、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
(特别说明:E9系统升级v10.50补丁包,升级完成并检测通过后需要使用管理员登录,访问/mobilemode/admin/genStaticpageAll.jsp进行数据初始化,避免移动建模页面异常。[如果升级v10.49已经做过此操作,可不必再次访问。])
2022-07-27(v10.49)
114、修复升级安全补丁包后后台office模板编辑异常的问题。
2022-07-26(v10.49)
113、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
(特别说明:E9系统升级v10.49补丁包,升级完成并检测通过后需要使用管理员登录,访问/mobilemode/admin/genStaticpageAll.jsp进行数据初始化,避免移动建模页面异常。)
2022-07-16(v10.48)
111、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45或以上版本的安全补丁,可直接下载此补丁升级即可)
112、修复rasp的bug问题。
2022-07-11(v10.47)
110、修复7月7日发布的安全补丁引发的外网环境下无法使用集成自定义接口的问题(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45及以上版本的安全补丁,可直接下载此补丁升级即可)
2022-07-07(v10.47)
109、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45或以上版本的安全补丁,可直接下载此补丁升级即可)
2022-06-18(v10.46)
108、修复新发现的安全漏洞(注:《基于v10.45版本增量安全补丁》是指如果已经手动升级过v10.45版本的安全补丁,可直接下载此补丁升级即可)
2022-05-25(v6.50/v10.45)
107、将fastjson升级到1.2.83版本,解决代码执行漏洞问题
2022-03-22(v10.44)
106、修复SQL属性联动配置失效问题。
2022-03-19(v6.49/v10.44)
105、解决任意文件上传漏洞,升级xstream到1.4.19版本。
2021-12-26(v6.49/v10.43)
104、修复任意URL跳转校验规则的bug,可能误拦截一些正常的跳转请求。
2021-08-24(v6.48/v10.42)
103、升级xstream至1.4.18版本。
2021-07-26(v6.47/v10.41)
102、修复更新安全包后pdf预览失效的问题。
2021-07-21(v6.47/v10.41)
101、修复新发现的安全问题(云商店逻辑漏洞)
2021-06-23(v6.47/v10.40)
100、修复新发现的安全问题
(注:升级此补丁包,需注意以下两点:
  1)如果移动端是EMobile6,那么需要同步升级EM6的安全补丁。
  2)如果使用了单点登录功能,需要在ecology\WEB-INF\prop\EMobile4.properties中加一行secrect=【EMobile服务后台管理系统设置那边的链接秘钥】,然后重启ecology服务
)
2021-05-18(v6.46/v10.39)
99、升级Xstream组件至1.4.17版本,解决反序列化问题
2021-04-22(v6.45/v10.38)
98、解决任意文件上传漏洞
2021-04-22(v6.44/v10.37)
97、修复集成中心被误拦截的问题
2021-04-20(v6.44/v10.37)
96、修复管理员登录后任意文件上传漏洞
2021-04-17(v6.43/v10.36)
94、升级第三方组件至最新版本(jackson和fastjson)。
95、修复一些其他问题。
2021-04-16(v6.42/v10.35)
93、解决由于安全包误拦截导致的缓存不同步的问题
2021-04-13(v6.42/v10.35)
92、解决由于安全补丁包误拦截导致云盘无法使用的问题。
2021-04-12(v6.42/v10.35)
91、解决由于安全包误拦截导致的移动建模功能异常
2021-04-11(v6.42/v10.35)
90、解决新发现的安全问题。
2021-04-09(v6.41/v10.34)
89、解决新发现的安全问题。
2021-03-17(v6.40/v10.33)
88、升级Xstream组件至1.4.16版本
2020-12-15
87、升级Xstream组件至1.4.15版本
2020-12-07
86、ecology产品安全更新,修复E8版本的一个安全漏洞(安全包已加密,解压密码请咨询泛微客服人员或项目人员索取)
2020-11-26
84、修复安全问题引发的bug,主要包括集群不同步、邮件中划线乱码、门户标题异常、偶发性中文出现乱码、PDF在线预览异常的问题
85、修复E8老版本用户升级后,权限转移报错的问题。
2020-11-17
82、ecology产品安全更新(安全包已加密,解压密码请咨询泛微客服人员或项目人员索取)
83、安全补丁包性能优化
2020-09-07
81、修复一些安全隐患(安全包已加密,解压密码请咨询泛微客服人员或项目人员索取)
2020-08-13
79、fastjson升级至1.2.73版本
80、jackson升级至2.10.5版本
2020-07-15
76、fastjson升级至1.2.72版本
77、修复移动端流程提交报错问题
78、修复一些安全隐患
2020-05-11
76、fastjson升级至1.2.68版本
77、安全补丁包性能优化
78、修复一些安全隐患
2020-03-20
75、fastjson升级至1.2.67版本
2020-03-09
74、fastjson升级至1.2.66版本,jackson-databind升级至2.10.3版本
2020-02-24
73、修复安全补丁导致的bug以及优化安全补丁包性能。
2019-11-29
72、修复安全补丁导致的手机端提交流程被拦截、报表导出功能异常的问题。
2019-11-27
70、修复安全补丁导致的表单建模无权限问题。
71、修复安全补丁导致的分页控件、人员导出异常的问题。
2019-11-26
69、修复安全补丁导致的自定义浏览按钮无法显示以及文档在线预览功能异常问题。
2019-11-04
67、修复老版本安全补丁包引发的一些bug,比如后台流程编号无法保存问题等
68、修复新发现的一些安全问题,完善安全规则库规则。
2019-10-31
65、修复老版本安全补丁包引发的一些bug,比如移动端微博异常等
66、修复新发现的一些安全问题,完善安全规则库规则。
2019-10-25
64、修复2019年10月24日安全补丁导致验证码无法显示的问题
2019-10-24
63、修复ecology的数据库信息泄露的问题
2019-10-18
61、修复2019年10月18日发布的ecology的SQL注入问题;
62、修复升级了V10.19安全补丁后自定义报表显示异常问题。
2019-10-17
60、修复ecology的一个安全问题
确认受影响版本:
数据库版本为以下版本的受到影响:SQLSERVER2012及以上版本
2019-10-10
59、修复ecology的一个安全问题(安全漏洞编号:CNVD-2019-34241,安全公告编号:CNTA-2019-0033)
2019-09-28
58、修复ecology的一个安全问题(E8/E9)。
2019-09-20
57、将fastjson升级到1.2.61版本以及bsh组件,解决可能的远程代码执行问题(该补丁包中包含ecology7/8/9(ecology文件夹)、EMobile6.6及以下版本、云桥的升级补丁,请根据自己产品的情况选择性升级)
2019-09-17
56、修复ecology的一个安全问题。
2019-09-05
55、将fastjson升级到1.2.60版本,解决拒绝服务漏洞问题(该补丁包中包含ecology7/8/9(ecology文件夹)、EMobile6.6及以下版本、云桥的升级补丁,请根据自己产品的情况选择性升级)
2019-07-25
54、修复ecology的未授权下载。
2019-07-18
53、修复ecology的未授权下载以及未授权上传文件的漏洞,XFF危害问题。
2019-06-25
52、将fastjson升级到1.2.58版本,解决代码执行漏洞问题(该补丁包中包含ecology7/8/9(ecology文件夹)、EMobile6.6及以下版本、云桥的升级补丁,请根据自己产品的情况选择性升级)
2019-04-10
51、修复ecology的一个CRLF漏洞(CVE-2019-10272)
2019-04-03
50、提供JDK升级,解决JDK反序列化问题
2019-04-02
49、增强规则库,升级jar包,防范反序列化漏洞。
2019-02-13
48、增加文件上传的安全性校验,修复一些bug。
2019-01-30
47、增强规则库,同时修复了一些bug。
2018-11-21
46、增强了service的防御功能。
2018-10-31
45、增强了service的防御功能。
2018-09-13
44、修复新发现的一些安全问题。
2018-08-23
43、修复新发现的一些安全问题。
2018-08-02
42、修复新发现的一些安全问题。
2018-03-23
41、修复了request.getQueryString可能导致的参数丢失问题。
2018-03-22
40、修复新发现的一些安全问题。
2018-03-09
39、修复了新发现的一些小问题。
2018-03-02
38、修复一些bug
2018-02-05
37、修复了最新的手机版由于referer违反同源策略而导致被误拦截的问题
2018-02-02
36、修复一些bug
2018--01-24
35、修复了一些可能存在的安全问题.
2018-01-19
35、忘记密码功能被误拦截问题修复
2018--01-16
34、修复了安全补丁引发的一些功能问题(意见征询和批注转发报错).
2018-01-11
33、修复安全包误拦截客户模块以及CAS集成登录下更新安全包后无法登陆的问题。
2018--01-02
31、修复了安全补丁引发的一些功能问题;
32、修复了一些新发现的漏洞问题。
2017-11-16
29、修复了新发现的问题。
30、扩展了安全包的可扩展性功能。
2017-06-12
修复安全包可能导致连接池崩溃的问题.
2017-05-23
28、增加了session超时功能的支持。
2016-12-08
修复了一些隐藏bug;
修复了一个登陆后中危级别的漏洞。
2016-11-1
修复了一些隐藏bug;
26、完善了规则库;
27、修复了已知安全漏洞问题。
2016-09-29
修复了一些隐藏bug;
优化安全补丁性能
2016-09-18
修复了一些隐藏bug;
23、完善了规则库;
24、增加了安全包自动升级的功能。
25、增加了请求频率限制的功能,可以有效解决暴力破解的问题。
2016-05-27
修复了一些隐藏bug;
21、完善了规则库,增加了webserivce内网访问验证;
22、强化了安全补丁包,防止某些情况下的安全绕过
2016-03-18
修复了一些隐藏bug;
20、完善了规则库,默认开启了登陆验证功能;
16、进一步完善了文件上传安全检查。
2015-12-17
修复了一些隐藏bug;
16、完善了规则库,增加了对登录前页面参数的输入格式的严格校验;
17、完善了手机端的安全校验支持;
18、修正了手机端部分中文登录名无法登录的bug;
19、增加了对jsp、class可执行文件的变更情况,默认每天凌晨3点钟检查。
2015-11-24
修复了一些隐藏bug;
1、增加了对weblogic的支持;
2、增加了对登录验证的支持。
2015-11-18
修复了一些隐藏bug;
15、完善了规则库,增加了对登录前页面参数的输入格式的严格校验。
2015-11-11
修复了一些隐藏bug;
12、完善了规则库,增强了跨站攻击、SQL注入漏洞的防御。
2015-10-27
13、攻击源IP临时封杀功能;
修复了一些隐藏的bug。
2015-10-20
11、ip白名单机制;
12、cookie+ip绑定机制。
2015-05-30
1、解决XSS跨域攻击;
2、解决高危险级SQL注入攻击;
3、防范钓鱼风险;
4、Host伪造攻击;
5、referer检查;
6、webservice白名单机制;
7、cookie的httponly机制;
8、http响应拆分漏洞;
9、log文件、数据库连接访问权限控制;
10、文件上传安全检查。