产品要闻
新闻中心
实时新闻,实时资讯

关于应用服务器V10.0安全漏洞的修复处理说明

  • 发布时间2022-09-15 15:06:44
  • 分享:

近日,在某云平台项目中使用时,检测出应用服务器V10.0存在信息泄露漏洞,内部编号AAS-5918。下文对这个问题进行分析以及对解决方案进行说明,防止安全问题的发生,方便广大客户及时更新修复漏洞,提升系统安全性。

一、问题分析

现象:应用程序客户端通过构造特殊路径进行未授权的文件访问,可以获得文件的内容。

原因:应用服务器存在访问路径校验不严格。导致将文件内容的返回,特殊路径构造请求绕过了检查。

影响范围:2023-09-20前发布的应用服务器V10.0,都存在该问题.

严重级别:高

二、处理方案

1、补丁下载

应用服务器V10.0的各个版本需要下载补丁进行更新,现在已发布版本包括V10.0基础版本以及SP1SP8版本,补丁下载地址如下:http://file.apusic.com/sharing/7bdblw70g

补丁目录下划线后为对应版本的发布时间:

2、更新说明

1)SP5以及之后的版本可通过补丁管理工具上传补丁进行更新;

2)SP4以及以前的版本可使用aas-web-core.jar直接替换ApusicAS/aas/modules/目录下同名文件,再删除ApusicAS/aas/domains/mydomainosgi-cache目录下的缓存文件,重启应用服务器即可生效;

3)如果对应版本已经打个其他补丁或更新过程有问题,可以与产品部门联系。

3、产品版本查看方式

1、通过ApusicAS/aas/bin目录的asadmin命令查看,输入asadmin version,出现如下界面,红色部分为日期:

 

2、配置文件查看,打开文件ApusicAS/aas/config/aas-version.properties,查看build_id行,红色部分为日期: