关于YonBIP的MA1.7系统漏洞的安全通告

一、漏洞描述

关于MA1.7存在反序列化漏洞：利用jbosss的HTTPServerILServlet.java⽂件存在的反序列化漏洞执行任意代码。

二、影响版本

MA1.7

三、修复方案

需要升级到MA2.7版本。升级到MA2.7后，打漏洞修复补丁，重启服务。

MA2.7安装盘(请参考同路径下《MA2.7服务器安装配置指南.pdf》安装)：

1.  管理员账号弱口令

修复方案: 登录移动系统管理，点击【修改密码】修改。

2.  远程执行任意指令漏洞

漏洞说明: mobsm/html/index.jsp页面存在远程执行任意指令漏洞。

修复方案: 替换commons-collections.jar。

使用补丁包中，安全漏洞补丁文件/patch_20220112/commons-collections.jar，

替换MAHOME/nmc/server/lib下的路径下的相同文件名jar包

3.  Apache Tomcat AJP远程代码执行

漏洞说明: Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）

修复方案: 禁掉AJP协议。

请将MAHOME/conf/server.xml中的AJP协议使用<!--  -->禁掉

4.  后台管理系统配置页面存在安全漏洞

漏洞说明: 管理后台部分登录页面、测试页面(无需登录)暴露在公网，导致目录遍历及任意文件读取、上传等漏洞。

修复方案: 安装nginx，屏蔽不需要开放的页面或请求。

搭建Nginx服务，配置nginx反向代理屏蔽相关页面，从而禁止外网访问。

Nginx下载地址：http://nginx.org/en/download.html。

使用补丁包中，安全漏洞补丁文件/patch_20220112/nginx.conf覆盖conf/nginx.conf。

配置中，listen后面的9000，需要改为MA的外网访问端口号。

        配置中，proxy_pass 后面的http://10.14.151.20:8999，需要改为MA服务器的内网ip和内网端口号。修改MA的端口号之后，需重启MA服务器。

        修改完成后，双击nginx下的nginx.exe启动nginx服务。启动后，windows任务管理器查看是否有nginx进程。

5.  反序列化安全漏洞、目录遍历获取敏感文件

漏洞说明: JNDI反序列化漏洞是java设计远程调用的一个缺陷，版本含盖jdk6、7、8。

修复方案: 替换fwserver.jar。

使用补丁包中，安全漏洞补丁文件/patch_20220112/fwserver.jar，替换MAHOME/lib/目录下fwserver.jar

6. XSS攻击、SQL注入、点击劫持X-Frame-Options未配置漏洞补丁

修复方案: 替换hotwebs文件夹部分文件。

使用补丁包中，安全漏洞补丁文件/patch_20220112/hotwebs.zip，覆盖到mahome/hotwebs文件夹。

7. fastjson反序列化任意代码执行漏洞

修复方案: 替换fastjson的jar包。

使用补丁包中，安全漏洞补丁文件/patch_20220112/fastjson-1.2.83.jar，覆盖到MAHOME/modules/maportal/lib下的fastjson-1.2.4.jar文件。