尊敬的動易用戶：

動易軟件.Net 2.0系列產(chǎn)品5.6版本及更低版本的產(chǎn)品中，包括SmartGov、SiteFactory、SmartSchool、BizIdea等產(chǎn)品，近日發(fā)現(xiàn)存在SQL注入漏洞和后臺任意文件生成漏洞。

漏洞等級：極度危險，強烈推薦升級至最新5.7版本。

如果是商業(yè)客戶，請聯(lián)系我們的銷售或客服人員以獲取商業(yè)版本的產(chǎn)品包和升級更新包。

如果是定制過功能的商業(yè)客戶，請先按照措施四中的方法修改標簽以修復(fù)漏洞。

如果是標準版用戶，請點此進入下載中心下載5.7版。

漏洞具體表現(xiàn)為：

一、在服務(wù)器防護不足的情況下，極有可能被黑客利用并向數(shù)據(jù)庫中注入惡意數(shù)據(jù)，從而實現(xiàn)非法獲取網(wǎng)站后臺管理目錄、將普通管理員提升為超管、生成任意文件等高危操作，繼而導(dǎo)致網(wǎng)站被掛馬、快照被劫持等惡劣情況。

二、網(wǎng)站在運營過程中存在以下安全薄弱問題，將導(dǎo)致黑客有機會以超級管理員身份進入網(wǎng)站后臺：

1. 網(wǎng)站后臺管理驗證碼為默認的8888或其它過于簡單的字符；

2. 網(wǎng)站后臺管理目錄為默認的Admin或其它過于簡單的字符；

3. 網(wǎng)站后臺管理認證碼與網(wǎng)站后臺目錄設(shè)置為相同的字符；

4. 管理員密碼哈希值為默認的PowerEasy或其它過于簡單的字符；

5. 存在密碼過于簡單的管理員賬戶；

6. 管理員賬戶、密碼與其它互聯(lián)網(wǎng)平臺上的一致，導(dǎo)致密碼被撞庫攻擊命中。

我司在發(fā)現(xiàn)這些漏洞后，在第一時間組織公司全體研發(fā)力量修補該漏洞，現(xiàn)已發(fā)布動易軟件.NET2.0 系列產(chǎn)品5.7版最新程序及相應(yīng)升級包。5.7版程序中已經(jīng)修復(fù)了SQL注入過濾不嚴和任意文件生成的問題，同時還對產(chǎn)品內(nèi)置的所有標簽(大概一千多個)進行了檢查，將標簽的參數(shù)的數(shù)據(jù)類型統(tǒng)一進行了規(guī)范化處理，因此我們強烈建議您立即下載并升級您的網(wǎng)站。

此次SQL注入漏洞的根源在于SQL注入過濾方法的邏輯不嚴密，沒有遞歸過濾直到過濾掉所有攻擊代碼，而設(shè)計師在制作標簽時為了容易調(diào)試，沒有嚴格按照規(guī)范設(shè)置標簽參數(shù)的數(shù)據(jù)類型。雙重疊加導(dǎo)致了SQL注入漏洞的產(chǎn)生。因此可以采用“升級到5.7版”或“修改標簽參數(shù)的數(shù)據(jù)類型”兩種方法中的任何一個都可以修復(fù)漏洞。但我們建議兩者都進行，以確保安全。

除把網(wǎng)站升級至5.7版外，我們還強烈建議您按本文末的措施對服務(wù)器、數(shù)據(jù)庫、網(wǎng)站后臺進行安全設(shè)置和檢查，以全面排除安全隱患，徹底清除可能存在的木馬文件和惡意注入的數(shù)據(jù)，確保網(wǎng)站安全！

我司將認真分析本次漏洞產(chǎn)生的原因，深刻檢討產(chǎn)品研發(fā)流程，改進編碼規(guī)范，切實落實產(chǎn)品安全研發(fā)制度，盡一切努力，避免同類安全漏洞再次出現(xiàn)在產(chǎn)品中！

給您帶來的不便，我們深表歉意！

感謝您對動易軟件的支持和理解。

廣東動易軟件股份有限公司

2017年7月6日

【注意】

如果您的網(wǎng)站因?qū)嵤┻^定制改造、第三方功能開發(fā)等原因而不便升級到5.7版，您可以在執(zhí)行完本文措施一至措施三之后，按措施四的方法對網(wǎng)站上的標簽進行檢查和修改，保證允許AJAX訪問的標簽沒有supersql(SQL超級參數(shù)型)類型的參數(shù)或含有supersql類型參數(shù)的標簽不允許AJAX訪問，則仍能有效防止SQL注入漏洞被黑客利用。在產(chǎn)品升級包中，我們除了提供升級程序外，還提供了修復(fù)后的產(chǎn)品默認標簽，如果您沒有修改過這些產(chǎn)品默認標簽，則可以直接替換。如果修改過，則要對比修改。對于您自行編寫的標簽，或者設(shè)計師在項目中編寫的標簽，即非產(chǎn)品自帶的默認標簽，也需要全部排查和修復(fù)，以免有疏漏。

措施一：檢查網(wǎng)站是否已被黑客入侵

http:/tech.powereasy.net/Item/4304.aspx

措施二：木馬文件及惡意注入數(shù)據(jù)清理

http:/tech.powereasy.net/Item/4306.aspx

措施三：服務(wù)器和網(wǎng)站安全加固

http:/tech.powereasy.net/Item/4305.aspx

措施四：不便升級的應(yīng)對措施

http:/tech.powereasy.net/Item/4308.aspx

延伸閱讀：動易SiteFactory等產(chǎn)品5.7版以前版本的漏洞產(chǎn)生原因和利用方法

http:/tech.powereasy.net/Item/4317.aspx