EC7.0及以下版本安全补丁
官方版本:6.48    运行环境:Windows/Linux
更新时间:2021-08-24
MD5:753bee5e7e54b3163defb7a2fc16f5bd
EC8.0及以上版本安全补丁
官方版本:10.42    运行环境:Windows/Linux
更新时间:2021-08-24
MD5:4840f18fdba8e2c606134e85d6673a1e
ECOLOGY安全补丁配置说明
 
更新时间:2019-08-29
系统运行安全建议
 
更新时间:2019-02-27
说明
*
特别说明:
本安全补丁包不可使用【运维平台/升级中心】更新!如升级后无法启动系统,请手动解压覆盖补丁包!
0
查看安全包是否生效及修复的办法
1、用sysadmin登录系统,访问:/security/monitor/Monitor.jsp;
2、查看【环境信息】tab页,可以看到当前安全包版本;
3、在【安全概要】tab页,可以看到安全包是否生效;
4、如果显示为未开启,在【安全体检】里面点击【检测】,检测后会弹出【修复】按钮,点击【修复】;
5、修复完成后会弹出 具体的修复步骤(主要就是替换文件),按照修复步骤操作即可
6、如果按上面5步修复完成后仍显示未开启,请在【安全开启详情】tab页的第一项点击【开启】。
1
请先下载【ECOLOGY安全补丁】和【ECOLOGY安全补丁配置说明】,按照【ECOLOGY安全补丁配置说明】中的【Ecology系统安全安装说明】文件进行部署升级。
2
如果是首次打安全补丁包,则在WEB-INF/目录下没有weaver_security_config.xml文件,可以先重启下服务,会自动生成weaver_security_config.xml文件。
3
如果有升级系统的KB补丁包或者是进行大版本升级,建议重新从本页面下载最新安全补丁包重新覆盖。
3
ECOLOGY安全补丁包可以适应以下版本的ECOLOGY

Resin1.x+Ecology5.0及以上版本

4
如果您的e-cology运行在WEBLOGIC环境下,亦可直接打本安全补丁。
5
如果系统做了比较多的二次开发,为了保险起见,建议先在生产环境上打上安全补丁包,但延缓启用安全补丁包(可以解决一些无需配置的严重问题,比如敏感信息未授权访问等。但不会影响到系统功能)。在测试环境上对常用功能尤其是二次开发的功能进行测试后再正式启用生产环境上的安全包功能。
6
对于有二次开发的客户,打上本安全补丁包后可能的影响及解决方案

1、对于直接传输危险字符(如count(、substr(、等)的sql语句的参数,可能会被安全包拦截;

2、对于从5.0/6.0/7.0升级到8.0的客户,如果二次开发页面采用了GBK编码传输数据,那么中文可能会无法获取到;

3、对于5.0/6.0/7.0的客户,如果二次开发页面采用了UTF-8编码传输数据,那么通过getParameter获取中文时可能会出现乱码。

以上问题的解决方案(具体配置可参考《Ecology系统安全配置说明.docx》中相关章节描述)

1、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<excepts>
<url>/keygenerator/KeyGeneratorOperation.jsp</url>
<url>/keygenerator/KeyGeneratorOriginalOperation.jsp</url>
</excepts>
如此,该页面的参数将不会进行安全性检查。

2、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<dev-list>
<special>
<encoding>GBK</encoding>
<paths>
<path>/hrm/performance/[a-zA-Z0-9]\.jsp</path>
<path>/hrm/performance/checkScheme/</path>
</paths>
</special>
</dev-list>
如此,该页面的参数将会以GBK的编码接收。

3、可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(url中可以使用正则表达式,也可以配置一个目录):
<dev-list>
<special>
<encoding>UTF-8</encoding>
<paths>
<path>/messager/</path>
<path>/newportal/contactssearch.jsp/</path>
</paths>
</special>
</dev-list>
如此,该页面的参数将会以UTF-8的编码接收。

7
如果系统做了较多的二次开发,请务必仔细阅读《Ecology系统安全配置说明.docx》,掌握二次开发功能受影响时快速通过配置的方式解决问题。
8
修改了与安全规则有关的xml文件(请使用Editplus、Notepad++、Ultra等编辑器编辑,不要使用记事本、写字板等工具编辑。)时,修改完成后,可以不需要重启Resin,请用系统管理员登录系统,然后访问:http://oa地址/updateRules.jsp(如:http://e8.e-cology.com.cn/updateRules.jsp),让刚修改的规则库文件即时生效。如果是集群环境,请在每个节点上都执行以下这个jsp。
9
更新该安全补丁包后,如果发现http://oa地址/services/无法访问,那么请参照以下步骤添加例外:将需要调用该WEBSERVICE的IP添加到白名单中即可

可以在ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml中的<root>节点下面添加类似如下的节点(IP可以指定某个网段,也可以指定具体IP):
<webservice-ip-list>
<ip>80.16.</ip>
</webservice-ip-list>
如此,这些IP就能正常访问webservice了。

更新日志
2021-08-24(v6.48/v10.42)
103、升级xstream至1.4.18版本。
2021-07-26(v6.47/v10.41)
102、修复更新安全包后pdf预览失效的问题。
2021-07-21(v6.47/v10.41)
101、修复新发现的安全问题(云商店逻辑漏洞)
2021-06-23(v6.47/v10.40)
100、修复新发现的安全问题
(注:升级此补丁包,需注意以下两点:
  1)如果移动端是EMobile6,那么需要同步升级EM6的安全补丁。
  2)如果使用了单点登录功能,需要在ecology\WEB-INF\prop\EMobile4.properties中加一行secrect=【EMobile服务后台管理系统设置那边的链接秘钥】,然后重启ecology服务
)
2021-05-18(v6.46/v10.39)
99、升级Xstream组件至1.4.17版本,解决反序列化问题
2021-04-22(v6.45/v10.38)
98、解决任意文件上传漏洞
2021-04-22(v6.44/v10.37)
97、修复集成中心被误拦截的问题
2021-04-20(v6.44/v10.37)
96、修复管理员登录后任意文件上传漏洞
2021-04-17(v6.43/v10.36)
94、升级第三方组件至最新版本(jackson和fastjson)。
95、修复一些其他问题。
2021-04-16(v6.42/v10.35)
93、解决由于安全包误拦截导致的缓存不同步的问题
2021-04-13(v6.42/v10.35)
92、解决由于安全补丁包误拦截导致云盘无法使用的问题。
2021-04-12(v6.42/v10.35)
91、解决由于安全包误拦截导致的移动建模功能异常
2021-04-11(v6.42/v10.35)
90、解决新发现的安全问题。
2021-04-09(v6.41/v10.34)
89、解决新发现的安全问题。
2021-03-17(v6.40/v10.33)
88、升级Xstream组件至1.4.16版本
2020-12-15
87、升级Xstream组件至1.4.15版本
2020-12-07
86、ecology产品安全更新,修复E8版本的一个安全漏洞(安全包已加密,解压密码请咨询泛微客服人员或项目人员索取)
2020-11-26
84、修复安全问题引发的bug,主要包括集群不同步、邮件中划线乱码、门户标题异常、偶发性中文出现乱码、PDF在线预览异常的问题
85、修复E8老版本用户升级后,权限转移报错的问题。
2020-11-17
82、ecology产品安全更新(安全包已加密,解压密码请咨询泛微客服人员或项目人员索取)
83、安全补丁包性能优化
2020-09-07
81、修复一些安全隐患(安全包已加密,解压密码请咨询泛微客服人员或项目人员索取)
2020-08-13
79、fastjson升级至1.2.73版本
80、jackson升级至2.10.5版本
2020-07-15
76、fastjson升级至1.2.72版本
77、修复移动端流程提交报错问题
78、修复一些安全隐患
2020-05-11
76、fastjson升级至1.2.68版本
77、安全补丁包性能优化
78、修复一些安全隐患
2020-03-20
75、fastjson升级至1.2.67版本
2020-03-09
74、fastjson升级至1.2.66版本,jackson-databind升级至2.10.3版本
2020-02-24
73、修复安全补丁导致的bug以及优化安全补丁包性能。
2019-11-29
72、修复安全补丁导致的手机端提交流程被拦截、报表导出功能异常的问题。
2019-11-27
70、修复安全补丁导致的表单建模无权限问题。
71、修复安全补丁导致的分页控件、人员导出异常的问题。
2019-11-26
69、修复安全补丁导致的自定义浏览按钮无法显示以及文档在线预览功能异常问题。
2019-11-04
67、修复老版本安全补丁包引发的一些bug,比如后台流程编号无法保存问题等
68、修复新发现的一些安全问题,完善安全规则库规则。
2019-10-31
65、修复老版本安全补丁包引发的一些bug,比如移动端微博异常等
66、修复新发现的一些安全问题,完善安全规则库规则。
2019-10-25
64、修复2019年10月24日安全补丁导致验证码无法显示的问题
2019-10-24
63、修复ecology的数据库信息泄露的问题
2019-10-18
61、修复2019年10月18日发布的ecology的SQL注入问题;
62、修复升级了V10.19安全补丁后自定义报表显示异常问题。
2019-10-17
60、修复ecology的一个安全问题
确认受影响版本:
数据库版本为以下版本的受到影响:SQLSERVER2012及以上版本
2019-10-10
59、修复ecology的一个安全问题(安全漏洞编号:CNVD-2019-34241,安全公告编号:CNTA-2019-0033)
2019-09-28
58、修复ecology的一个安全问题(E8/E9)。
2019-09-20
57、将fastjson升级到1.2.61版本以及bsh组件,解决可能的远程代码执行问题(该补丁包中包含ecology7/8/9(ecology文件夹)、EMobile6.6及以下版本、云桥的升级补丁,请根据自己产品的情况选择性升级)
2019-09-17
56、修复ecology的一个安全问题。
2019-09-05
55、将fastjson升级到1.2.60版本,解决拒绝服务漏洞问题(该补丁包中包含ecology7/8/9(ecology文件夹)、EMobile6.6及以下版本、云桥的升级补丁,请根据自己产品的情况选择性升级)
2019-07-25
54、修复ecology的未授权下载。
2019-07-18
53、修复ecology的未授权下载以及未授权上传文件的漏洞,XFF危害问题。
2019-06-25
52、将fastjson升级到1.2.58版本,解决代码执行漏洞问题(该补丁包中包含ecology7/8/9(ecology文件夹)、EMobile6.6及以下版本、云桥的升级补丁,请根据自己产品的情况选择性升级)
2019-04-10
51、修复ecology的一个CRLF漏洞(CVE-2019-10272)
2019-04-03
50、提供JDK升级,解决JDK反序列化问题
2019-04-02
49、增强规则库,升级jar包,防范反序列化漏洞。
2019-02-13
48、增加文件上传的安全性校验,修复一些bug。
2019-01-30
47、增强规则库,同时修复了一些bug。
2018-11-21
46、增强了service的防御功能。
2018-10-31
45、增强了service的防御功能。
2018-09-13
44、修复新发现的一些安全问题。
2018-08-23
43、修复新发现的一些安全问题。
2018-08-02
42、修复新发现的一些安全问题。
2018-03-23
41、修复了request.getQueryString可能导致的参数丢失问题。
2018-03-22
40、修复新发现的一些安全问题。
2018-03-09
39、修复了新发现的一些小问题。
2018-03-02
38、修复一些bug
2018-02-05
37、修复了最新的手机版由于referer违反同源策略而导致被误拦截的问题
2018-02-02
36、修复一些bug
2018--01-24
35、修复了一些可能存在的安全问题.
2018-01-19
35、忘记密码功能被误拦截问题修复
2018--01-16
34、修复了安全补丁引发的一些功能问题(意见征询和批注转发报错).
2018-01-11
33、修复安全包误拦截客户模块以及CAS集成登录下更新安全包后无法登陆的问题。
2018--01-02
31、修复了安全补丁引发的一些功能问题;
32、修复了一些新发现的漏洞问题。
2017-11-16
29、修复了新发现的问题。
30、扩展了安全包的可扩展性功能。
2017-06-12
修复安全包可能导致连接池崩溃的问题.
2017-05-23
28、增加了session超时功能的支持。
2016-12-08
修复了一些隐藏bug;
修复了一个登陆后中危级别的漏洞。
2016-11-1
修复了一些隐藏bug;
26、完善了规则库;
27、修复了已知安全漏洞问题。
2016-09-29
修复了一些隐藏bug;
优化安全补丁性能
2016-09-18
修复了一些隐藏bug;
23、完善了规则库;
24、增加了安全包自动升级的功能。
25、增加了请求频率限制的功能,可以有效解决暴力破解的问题。
2016-05-27
修复了一些隐藏bug;
21、完善了规则库,增加了webserivce内网访问验证;
22、强化了安全补丁包,防止某些情况下的安全绕过
2016-03-18
修复了一些隐藏bug;
20、完善了规则库,默认开启了登陆验证功能;
16、进一步完善了文件上传安全检查。
2015-12-17
修复了一些隐藏bug;
16、完善了规则库,增加了对登录前页面参数的输入格式的严格校验;
17、完善了手机端的安全校验支持;
18、修正了手机端部分中文登录名无法登录的bug;
19、增加了对jsp、class可执行文件的变更情况,默认每天凌晨3点钟检查。
2015-11-24
修复了一些隐藏bug;
1、增加了对weblogic的支持;
2、增加了对登录验证的支持。
2015-11-18
修复了一些隐藏bug;
15、完善了规则库,增加了对登录前页面参数的输入格式的严格校验。
2015-11-11
修复了一些隐藏bug;
12、完善了规则库,增强了跨站攻击、SQL注入漏洞的防御。
2015-10-27
13、攻击源IP临时封杀功能;
修复了一些隐藏的bug。
2015-10-20
11、ip白名单机制;
12、cookie+ip绑定机制。
2015-05-30
1、解决XSS跨域攻击;
2、解决高危险级SQL注入攻击;
3、防范钓鱼风险;
4、Host伪造攻击;
5、referer检查;
6、webservice白名单机制;
7、cookie的httponly机制;
8、http响应拆分漏洞;
9、log文件、数据库连接访问权限控制;
10、文件上传安全检查。