关于NC/NC Cloud弱密码控制台漏洞整改解决方案的公告

NC-NC Cloud产品线弱密码控制台漏洞整改解决方案

国家漏洞中心下发NC存在未授权访问的漏洞，告知用友UAPWS平台控制台存在弱口令漏洞，目前还有很多客户未部署方案。针对此漏洞，用友总部提供统一的解决方案，主要涉及：UAPWS服务控制台、文件服务器控制台、NMC客户端登录控制台。请各机构高端客户成功总监负责所属机构所有项目，通知客户修改弱密码，修改方案如下:

一、UAP WebService控制台方案（方案升级：增加对webservice列表权限控制）

影响版本：

NC56/NC57/NC61/NC63/NC633/NC65/NCC1903/NCC1909/NCC2005/NCC2105/NCC2111

解决方案：

NC56  

补丁编码：NCM_NC5.6_000_1008_20220602_GP_134638708

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/11221654134639674544/0/2

NC57

补丁编码：NCM_NC5.7_000_109902_20220617_GP_458283761

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/11221655458284616611/0/2

NC61

补丁编码：NCM_NC6.1_000_1014_20220617_GP_458480206

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/11221655458481069619/0/2

NC63

补丁编码：NCM_NC6.3_000_109902_20220617_GP_458705611

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/10221655458706512571/0/2

NC633

补丁编码：NCM_NC6.3_000_109902_20220617_GP_458705611

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/10221655458706512571/0/2

NC65

补丁编码：NCM_NC6.5_000_0004_20220617_GP_458926538

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/11221655458927451630/0/2

NCC1903

补丁编码：NCM_NCCLOUD1903_10_109902_20220617_GP_460189959

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/10221655460190866135/0/2

NCC1909

补丁编码：NCM_NCCLOUD1909_10_109902_20220617_GP_460246918

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/11221655460247784691/0/2

NCC2005

补丁编码：NCM_NCCLOUD2020.05_10_109902_20220617_GP_460265548

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/10221655460266436143/0/2

NCC2105

补丁编码：NCM_NCCLOUD2021.05_10_0013_20220617_GP_460296586

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/11221655460297496697/0/2

NCC2111

补丁编码：NCM_NCCLOUD2021.11_010_0013_20220617_GP_460328365

补丁链接：https://dsp.yonyou.com/patchcenter/patchdetail/11221655460329226703/0/2

二、文件服务器控制台方案（未做调整，已经部署的项目不用再重新部署）

影响版本：NC633 / NC65 / NCC1811 / NCC1903 / NCC1909 / NCC2005

解决方案：

1、 将hotwebs/fs/console.html 内容清空，文件保留

2、 和hotwebs/fs/manager.html删除。

3、删除hotwebs\fs\WEB-INF\web.xml里的如下配置

    <servlet>

        <servlet-name>FileConsoleService</servlet-name>

        <servlet-class>uap.pub.fs.console.FsConsoleService</servlet-class>

    </servlet>

    <servlet-mapping>

        <servlet-name>FileConsoleService</servlet-name>

        <url-pattern>/console</url-pattern>

</servlet-mapping>

重启服务。

说明：以上两个级别为高危级别，务必要修改；下面的 <NMC登录控制台方案> ，如果NMC服务一直处于长时间使用状态也建议修改

三、NMC登录控制台（未做调整，已经部署的项目不用再重新部署）

影响版本：支持NMC的所有版本

解决方案：

1、登录NMC客户端

2、进入<权限管理>结点，依次选择菜单<管理员设置>、<修改>按钮：

3、在弹出修改密码对话框中输入新密码，点击确定