尊敬的動(dòng)易用戶：

動(dòng)易軟件.Net 2.0系列產(chǎn)品5.6版本及更低版本的產(chǎn)品中，包括SmartGov、SiteFactory、SmartSchool、BizIdea等產(chǎn)品，近日發(fā)現(xiàn)存在SQL注入漏洞和后臺(tái)任意文件生成漏洞。

漏洞等級(jí)：極度危險(xiǎn)，強(qiáng)烈推薦升級(jí)至最新5.7版本。

如果是商業(yè)客戶，請(qǐng)聯(lián)系我們的銷售或客服人員以獲取商業(yè)版本的產(chǎn)品包和升級(jí)更新包。

如果是定制過功能的商業(yè)客戶，請(qǐng)先按照措施四中的方法修改標(biāo)簽以修復(fù)漏洞。

如果是標(biāo)準(zhǔn)版用戶，請(qǐng)點(diǎn)此進(jìn)入下載中心下載5.7版。

漏洞具體表現(xiàn)為：

一、在服務(wù)器防護(hù)不足的情況下，極有可能被黑客利用并向數(shù)據(jù)庫(kù)中注入惡意數(shù)據(jù)，從而實(shí)現(xiàn)非法獲取網(wǎng)站后臺(tái)管理目錄、將普通管理員提升為超管、生成任意文件等高危操作，繼而導(dǎo)致網(wǎng)站被掛馬、快照被劫持等惡劣情況。

二、網(wǎng)站在運(yùn)營(yíng)過程中存在以下安全薄弱問題，將導(dǎo)致黑客有機(jī)會(huì)以超級(jí)管理員身份進(jìn)入網(wǎng)站后臺(tái)：

1. 網(wǎng)站后臺(tái)管理驗(yàn)證碼為默認(rèn)的8888或其它過于簡(jiǎn)單的字符；

2. 網(wǎng)站后臺(tái)管理目錄為默認(rèn)的Admin或其它過于簡(jiǎn)單的字符；

3. 網(wǎng)站后臺(tái)管理認(rèn)證碼與網(wǎng)站后臺(tái)目錄設(shè)置為相同的字符；

4. 管理員密碼哈希值為默認(rèn)的PowerEasy或其它過于簡(jiǎn)單的字符；

5. 存在密碼過于簡(jiǎn)單的管理員賬戶；

6. 管理員賬戶、密碼與其它互聯(lián)網(wǎng)平臺(tái)上的一致，導(dǎo)致密碼被撞庫(kù)攻擊命中。

我司在發(fā)現(xiàn)這些漏洞后，在第一時(shí)間組織公司全體研發(fā)力量修補(bǔ)該漏洞，現(xiàn)已發(fā)布動(dòng)易軟件.NET2.0 系列產(chǎn)品5.7版最新程序及相應(yīng)升級(jí)包。5.7版程序中已經(jīng)修復(fù)了SQL注入過濾不嚴(yán)和任意文件生成的問題，同時(shí)還對(duì)產(chǎn)品內(nèi)置的所有標(biāo)簽(大概一千多個(gè))進(jìn)行了檢查，將標(biāo)簽的參數(shù)的數(shù)據(jù)類型統(tǒng)一進(jìn)行了規(guī)范化處理，因此我們強(qiáng)烈建議您立即下載并升級(jí)您的網(wǎng)站。

此次SQL注入漏洞的根源在于SQL注入過濾方法的邏輯不嚴(yán)密，沒有遞歸過濾直到過濾掉所有攻擊代碼，而設(shè)計(jì)師在制作標(biāo)簽時(shí)為了容易調(diào)試，沒有嚴(yán)格按照規(guī)范設(shè)置標(biāo)簽參數(shù)的數(shù)據(jù)類型。雙重疊加導(dǎo)致了SQL注入漏洞的產(chǎn)生。因此可以采用“升級(jí)到5.7版”或“修改標(biāo)簽參數(shù)的數(shù)據(jù)類型”兩種方法中的任何一個(gè)都可以修復(fù)漏洞。但我們建議兩者都進(jìn)行，以確保安全。

除把網(wǎng)站升級(jí)至5.7版外，我們還強(qiáng)烈建議您按本文末的措施對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)站后臺(tái)進(jìn)行安全設(shè)置和檢查，以全面排除安全隱患，徹底清除可能存在的木馬文件和惡意注入的數(shù)據(jù)，確保網(wǎng)站安全！

我司將認(rèn)真分析本次漏洞產(chǎn)生的原因，深刻檢討產(chǎn)品研發(fā)流程，改進(jìn)編碼規(guī)范，切實(shí)落實(shí)產(chǎn)品安全研發(fā)制度，盡一切努力，避免同類安全漏洞再次出現(xiàn)在產(chǎn)品中！

給您帶來的不便，我們深表歉意！

感謝您對(duì)動(dòng)易軟件的支持和理解。

廣東動(dòng)易軟件股份有限公司

2017年7月6日

【注意】

如果您的網(wǎng)站因?qū)嵤┻^定制改造、第三方功能開發(fā)等原因而不便升級(jí)到5.7版，您可以在執(zhí)行完本文措施一至措施三之后，按措施四的方法對(duì)網(wǎng)站上的標(biāo)簽進(jìn)行檢查和修改，保證允許AJAX訪問的標(biāo)簽沒有supersql(SQL超級(jí)參數(shù)型)類型的參數(shù)或含有supersql類型參數(shù)的標(biāo)簽不允許AJAX訪問，則仍能有效防止SQL注入漏洞被黑客利用。在產(chǎn)品升級(jí)包中，我們除了提供升級(jí)程序外，還提供了修復(fù)后的產(chǎn)品默認(rèn)標(biāo)簽，如果您沒有修改過這些產(chǎn)品默認(rèn)標(biāo)簽，則可以直接替換。如果修改過，則要對(duì)比修改。對(duì)于您自行編寫的標(biāo)簽，或者設(shè)計(jì)師在項(xiàng)目中編寫的標(biāo)簽，即非產(chǎn)品自帶的默認(rèn)標(biāo)簽，也需要全部排查和修復(fù)，以免有疏漏。

措施一：檢查網(wǎng)站是否已被黑客入侵

http:/tech.powereasy.net/Item/4304.aspx

措施二：木馬文件及惡意注入數(shù)據(jù)清理

http:/tech.powereasy.net/Item/4306.aspx

措施三：服務(wù)器和網(wǎng)站安全加固

http:/tech.powereasy.net/Item/4305.aspx

措施四：不便升級(jí)的應(yīng)對(duì)措施

http:/tech.powereasy.net/Item/4308.aspx

延伸閱讀：動(dòng)易SiteFactory等產(chǎn)品5.7版以前版本的漏洞產(chǎn)生原因和利用方法

http:/tech.powereasy.net/Item/4317.aspx