关于用友NC6.5JDK低版本漏洞解决方案的公告

用友NC6.5关于JDK低版本漏洞解决方案

用友NC 6.5基于java平台实现。JNDI反序列化漏洞是java设计远程调用的一个缺陷，版本含盖jdk6、7、8。经过不断修复及完善已经在jdk6u211、jdk7u201、jdk8u191以上版本解决。

此漏洞具体解决方案参考如下：

方案1：补丁解决（快速方案）

用友研发这边已提供对应NC6版本此漏洞解决补丁，打上补丁后此问题解决。

方案2：升级JDK版本解决（参考方案）

经过不断修复及完善此漏洞已经在jdk6u211、jdk7u201、jdk8u191以上版本解决，可以通过升级JDK解决此问题。

附录说明：

1、此漏洞解决方案对应解决‘NC远程命令执行0-Day漏洞’问题；

2、经过验证，此漏洞攻击对以下场景有效，应用服务器（NC代码所在服务器）发布在外网（即应用服务器可以访问外网网站），且代码环境没有执行方案1或方案2的部署环境。

3、经过验证，以下部署场景，即使代码环境没有执行方案1或方案2进行安全加固，此漏洞攻击也难以生效：

（1）应用服务器只开放对应端口供外网访问，应用服务器本身不能访问外网。

（2）应用服务器放在内网且没有开放端口供外网访问，外网用户只能通过web服务器或负载均衡设备访问应用服务器。