首页 / 浏览问题 / 云GIS / 问题详情
iPortal漏洞问题
144EXP 2023年07月27日

先部署安装了产品iPortal,版本为 10.2.1.1229.42881

经过大数据中心扫描,发现报出如下四个漏洞

一、Elasticsearch 未授权访问漏洞
1.Elasticsearch 服务不要对外开放;
2.在 config/elasticsearch.yml 中为 Elasticsearch 设置认证等。
 

二、fastjson <= 1.2.80 反序列化任意代码执行漏洞
1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3、因升级版本可能带来兼容性问题,可使用noneautotype版本,参考:https://github.com/alibaba/fastjson/wiki/security_update_20220523
4、迁移升级使用fastjson v2 ,可参考 https://github.com/alibaba/fastjson2/releases
其中,该报错可以参考http://ask.supermap.com/108879(iServer之前提出的),(iPortal也参考一样的方法吗)
三、Apache Shiro RegExPatternMatcher 权限绕过漏洞(CVE-2022-32532)
若代码存在相应写法,建议升级至1.9.1版本及其以上。
四、Apache Shiro RequestDispatcher 权限绕过漏洞(CVE-2022-40664)
目前该漏洞已经修复,受影响用户可以升级到Apache Shiro 1.10.0或更高版本,官方链接:https://shiro.apache.org/download.html

针对上述四个漏洞缺陷,是否可以通过将iPortal升级至最先版本解决;以及第一个漏洞ES的怎么处理解决呢?

2 个回答

Shiro问题在iServer解决了iPortal不确定解决没

144EXP 2023年07月27日
您好 ,后面三个漏洞已解决,升级iportal包即可。第一个问题需要提供详细的漏洞报告,企业微信联系您。
3,143EXP 2023年07月27日
...