首页> 服务支持 > 安全中心 > 安全公告 >熵基科技百傲瑞达安防管理系统平台更新的通告


熵基科技百傲瑞达安防管理系统平台更新的通告


近日,发现熵基科技百傲瑞达安防管理平台(3150版本)产品存在如下问题,详细情况如下:


一、问题说明


1、存在命令执行问题


  由于百傲瑞达是基本SSH框架开发的系统,Struts2提供了devMode模式,便于查看程序错误以及日志等信息。部分定制产品发布后未修改system.devMode值为false,有可能被利用(制造出攻击利用代码)发起大规模检测或攻击。


2、存在逻辑缺陷问题


  Shiro框架通过拦截器功能来对用户访问权限进行控制,如anon, authc等拦截器。anon为匿名拦截器,不需要登录即可访问;authc为登录拦截器,需要登录才可以访问。主要是Spring web在匹配url的时候没有匹配上/导致绕过。


二、影响范围


  会造成使用旧架构系统的用户信息安全问题。


三、规避方案


  1.【方案一】旧架构把shiro版本从1.2.3升级到1.5.3版本。


  2.【方案二】软件升级到最新版本。(具体版本以官网发布为准)


四、解决方案


  3.【方案一】修改旧架构zksecurity-config工程下的init.properties的system.devMode属性值为false。


  4.【方案二】软件升级到最新版本。(具体版本以官网发布为准)


五、后续改善计划


  软件升级到最新版本,具体版本以官网发布为准。



本网站使用Cookie在您的设备上存储信息,Cookie可以增强您的用户体验 帮助我们的网站正常运行。
如需更多信息,请阅读我们的 Cookie政策隐私政策.

接受