EC9.0全量补丁
官方版本:10.70 运行环境:Windows/Linux
更新时间:2024-09-10
|
EC8.0全量补丁
官方版本:10.70 运行环境:Windows/Linux
更新时间:2024-09-10
|
基于10.56+增量补丁(EC9.0)
官方版本:10.70 运行环境:Windows/Linux
更新时间:2024-09-10
|
基于10.56+增量补丁(EC8.0)
官方版本:10.70 运行环境:Windows/Linux
更新时间:2024-09-10
|
基于10.63+增量补丁(EC9.0)
官方版本:10.70 运行环境:Windows/Linux
更新时间:2024-09-10
|
基于10.63+增量补丁(EC8.0)
官方版本:10.70 运行环境:Windows/Linux
更新时间:2024-09-10
|
EC7.0及以下版本安全补丁
官方版本:6.51 运行环境:Windows/Linux
更新时间:2024-09-10
MD5:EB57356B1AD0D45C32CB033AA4A861D8
|
EC10.0安全补丁
官方版本:1.26.0-hotfix2 运行环境:Windows/Linux
更新时间:2024-09-10
MD5:02544A581CA3DAE4D7E8E1BA6B3D83F4
|
RASP防护模块安装包
官方版本:2.0.5 运行环境:Windows/Linux
更新时间:2022-11-07
MD5:5ed111a3da49a83f5ec6b4a729bad951
|
RASP防护模块部署手册
官方版本:2.0.5
更新时间:2022-08-22
MD5:c65ba5d7dee18a564a2802334ed538fe
|
RASP防护模块升级包
官方版本:2.0.5 运行环境:Windows/Linux
更新时间:2022-11-07
MD5:b218226ca46e02ba7008b40de8b49e62
|
RASP防护模块升级手册
官方版本:2.0.5
更新时间:2022-08-22
MD5:83a9b9bd632dfe8995c28834ba6f748c
|
ECOLOGY安全补丁配置说明
更新时间:2022-07-16
|
系统运行安全建议
更新时间:2022-07-16
|
a、长度至少13位及以上;
b、同时包含大小写字母、数字和特殊字符;
c、在键盘上没有明显的输入规律,比如:1qaz@WSX,比如该密码,看似是强密码,但在键盘上存在明显输入规律,因此也容易破解。
2、查看【环境信息】tab页,可以看到当前安全包版本;
3、在【安全概要】tab页,可以看到安全包是否生效;
4、如果显示为未开启,在【安全体检】里面点击【检测】,检测后会弹出【修复】按钮,点击【修复】;
5、修复完成后会弹出 具体的修复步骤(主要就是替换文件),按照修复步骤操作即可
6、如果按上面5步修复完成后仍显示未开启,请在【安全开启详情】tab页的第一项点击【开启】。
Resin1.x+Ecology5.0及以上版本
1、对于直接传输危险字符(如count(、substr(、等)的sql语句的参数,可能会被安全包拦截;
2、对于从5.0/6.0/7.0升级到8.0的客户,如果二次开发页面采用了GBK编码传输数据,那么中文可能会无法获取到;
3、对于5.0/6.0/7.0的客户,如果二次开发页面采用了UTF-8编码传输数据,那么通过getParameter获取中文时可能会出现乱码。
1、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<excepts>
如此,该页面的参数将不会进行安全性检查。
<url>/keygenerator/KeyGeneratorOperation.jsp</url>
<url>/keygenerator/KeyGeneratorOriginalOperation.jsp</url>
</excepts>
2、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<dev-list>
如此,该页面的参数将会以GBK的编码接收。
<special>
<encoding>GBK</encoding>
<paths>
<path>/hrm/performance/[a-zA-Z0-9]\.jsp</path>
<path>/hrm/performance/checkScheme/</path>
</paths>
</special>
</dev-list>
3、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<dev-list>
如此,该页面的参数将会以UTF-8的编码接收。
<special>
<encoding>UTF-8</encoding>
<paths>
<path>/messager/</path>
<path>/newportal/contactssearch.jsp/</path>
</paths>
</special>
</dev-list>
可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(IP可以指定某个网段,也可以指定具体IP):
<webservice-ip-list>
如此,这些IP就能正常访问webservice了。
<ip>80.16.</ip>
</webservice-ip-list>
162、修复E9资产模块打印失败的问题
158、修复E9表单建模、群组保存失败的问题。
159、修复E8版本流程测试无法使用的问题。
154、修复邮件附件无法下载的问题。
145、新增通用安全防护规则。
142、修复功能bug
143、基于10.58.7的补丁包,主要是针对已经升级到了10.58.7补丁的客户可以直接使用该补丁包,减少补丁包体积以及减少文件更新。
139、修复EM7和云桥同步人员卡慢的问题
136、修复E8从流程打开附件或者正文弹框报错的问题
137、修复签章图片无法显示的问题
131、修复XXE注入漏洞
>升级commons-fileupload至1.5.0版本
>升级dubbo至2.7.22版本
>增加全局防护任意命令执行漏洞
(特别说明:E9系统升级v10.52补丁包,升级完成并检测通过后需要使用管理员登录,访问/mobilemode/admin/genStaticpageAll.jsp进行数据初始化,避免移动建模页面异常。[如果升级v10.49已经做过此操作,可不必再次访问。])
(特别说明:E9系统升级v10.50补丁包,升级完成并检测通过后需要使用管理员登录,访问/mobilemode/admin/genStaticpageAll.jsp进行数据初始化,避免移动建模页面异常。[如果升级v10.49已经做过此操作,可不必再次访问。])
(特别说明:E9系统升级v10.49补丁包,升级完成并检测通过后需要使用管理员登录,访问/mobilemode/admin/genStaticpageAll.jsp进行数据初始化,避免移动建模页面异常。)
112、修复rasp的bug问题。
(注:升级此补丁包,需注意以下两点:
1)如果移动端是EMobile6,那么需要同步升级EM6的安全补丁。
2)如果使用了单点登录功能,需要在ecology\WEB-INF\prop\EMobile4.properties中加一行secrect=【EMobile服务后台管理系统设置那边的链接秘钥】,然后重启ecology服务
)
95、修复一些其他问题。
85、修复E8老版本用户升级后,权限转移报错的问题。
83、安全补丁包性能优化
80、jackson升级至2.10.5版本
77、修复移动端流程提交报错问题
78、修复一些安全隐患
77、安全补丁包性能优化
78、修复一些安全隐患
71、修复安全补丁导致的分页控件、人员导出异常的问题。
68、修复新发现的一些安全问题,完善安全规则库规则。
66、修复新发现的一些安全问题,完善安全规则库规则。
62、修复升级了V10.19安全补丁后自定义报表显示异常问题。
确认受影响版本:
数据库版本为以下版本的受到影响:SQLSERVER2012及以上版本
32、修复了一些新发现的漏洞问题。
30、扩展了安全包的可扩展性功能。
修复了一个登陆后中危级别的漏洞。
26、完善了规则库;
27、修复了已知安全漏洞问题。
优化安全补丁性能
23、完善了规则库;
24、增加了安全包自动升级的功能。
25、增加了请求频率限制的功能,可以有效解决暴力破解的问题。
21、完善了规则库,增加了webserivce内网访问验证;
22、强化了安全补丁包,防止某些情况下的安全绕过
20、完善了规则库,默认开启了登陆验证功能;
16、进一步完善了文件上传安全检查。
16、完善了规则库,增加了对登录前页面参数的输入格式的严格校验;
17、完善了手机端的安全校验支持; 18、修正了手机端部分中文登录名无法登录的bug;
19、增加了对jsp、class可执行文件的变更情况,默认每天凌晨3点钟检查。
1、增加了对weblogic的支持;
2、增加了对登录验证的支持。
15、完善了规则库,增加了对登录前页面参数的输入格式的严格校验。
12、完善了规则库,增强了跨站攻击、SQL注入漏洞的防御。
修复了一些隐藏的bug。
12、cookie+ip绑定机制。
2、解决高危险级SQL注入攻击;
3、防范钓鱼风险;
4、Host伪造攻击;
5、referer检查;
6、webservice白名单机制;
7、cookie的httponly机制;
8、http响应拆分漏洞;
9、log文件、数据库连接访问权限控制;
10、文件上传安全检查。