关于YonBIP的MA2.7系统漏洞的安全通告

一、漏洞描述

关于MA2.7系统存在的历史漏洞：管理员账号弱口令、远程执行任意指令漏洞、Apache Tomcat AJP远程代码执行漏洞、后台管理系统配置页面存在安全漏洞、反序列化安全漏洞、目录遍历获取敏感文件、XSS攻击、SQL注入、点击劫持X-Frame-Options未配置漏洞补丁、fastjson反序列化任意代码执行漏洞。

二、影响版本

MA2.7

三、修复方案

打漏洞修复补丁，重启服务。

1.  管理员账号弱口令

修复方案: 登录移动系统管理，点击【修改密码】修改。

2.  远程执行任意指令漏洞

漏洞说明: mobsm/html/index.jsp页面存在远程执行任意指令漏洞。

修复方案: 替换commons-collections.jar。使用补丁包中，安全漏洞补丁文件/patch_20220112/commons-collections.jar，

替换MAHOME/nmc/server/lib下的路径下的相同文件名jar包

3.  Apache Tomcat AJP远程代码执行

漏洞说明: Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）

修复方案: 禁掉AJP协议。请将MAHOME/conf/server.xml中的AJP协议使用<!--  -->禁掉

4.  后台管理系统配置页面存在安全漏洞

漏洞说明: 管理后台部分登录页面、测试页面(无需登录)暴露在公网，导致目录遍历及任意文件读取、上传等漏洞。

修复方案: 安装nginx，屏蔽不需要开放的页面或请求。搭建Nginx服务，配置nginx反向代理屏蔽相关页面，从而禁止外网访问。Nginx下载地址：http://nginx.org/en/download.html。使用补丁包中，安全漏洞补丁文件/patch_20220112/nginx.conf覆盖conf/nginx.conf。配置中，listen后面的9000，需要改为MA的外网访问端口号。配置中，proxy_pass 后面的http://10.14.151.20:8999，需要改为MA服务器的内网ip和内网端口号。修改MA的端口号之后，需重启MA服务器。修改完成后，双击nginx下的nginx.exe启动nginx服务。启动后，windows任务管理器查看是否有nginx进程。

5.  反序列化安全漏洞、目录遍历获取敏感文件

漏洞说明: JNDI反序列化漏洞是java设计远程调用的一个缺陷，版本含盖jdk6、7、8。

修复方案: 替换fwserver.jar。使用补丁包中，安全漏洞补丁文件/patch_20220112/fwserver.jar，替换MAHOME/lib/目录下fwserver.jar

6. XSS攻击、SQL注入、点击劫持X-Frame-Options未配置漏洞补丁

修复方案: 替换hotwebs文件夹部分文件。使用补丁包中，安全漏洞补丁文件/patch_20220112/hotwebs.zip，覆盖到mahome/hotwebs文件夹。

7. fastjson反序列化任意代码执行漏洞

修复方案: 替换fastjson的jar包。使用补丁包中，安全漏洞补丁文件/patch_20220112/fastjson-1.2.83.jar，覆盖到MAHOME/modules/maportal/lib下的fastjson-1.2.4.jar文件。