关于GRP-U8存在可直接在浏览器中访问logs下日志文件漏洞的安全通告

一、 漏洞描述

用友政务公司获知用友GRP-U8信息泄露漏洞后，第一时间组织团队进行应急响应，分析处理漏洞问题并发布相关解决补丁，并对相关支持人员进行培训。本次漏洞是在浏览器地址栏拼接/logs/debug.log、error.log可在浏览器中访问到debug.log、error.log日志内容，此日志为调试日志，包含客户数据，存在一定的安全风险。

二、影响版本

用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager，产品分B、C、G三个产品系列，以上受到本次通报漏洞的影响。

三、修复方案

启用中间件禁止访问功能，在服务路径webappsWEB-INF下找到web.xml文件，增加如下截图中页签内容，禁止直接请求logs文件夹下文件。（注意web.xml请使用utf-8编码格式）。