中文
【安全通告】关于深信服应用交付报表系统命令执行漏洞的说明
关于近期网传“深信服应用交付报表系统命令执行漏洞”的多个消息,经判断均为同一个历史漏洞,攻击者可以通过发送特定报文,执行任意系统命令,获取系统权限 。我司已于2020年发布安全补丁(SP_AD_JG_01)进行了修复,后续的安全加固补丁包中也合入了该问题的修复。受影响用户可通过升级版本或者安全加固补丁完成对漏洞的修复。
| 产品名称 |
版本 |
是否受影响 | 修复方案 |
| AD | AD7.0.8R4及以上版本 | 不受影响 | - |
| AD7.0.9R1_EN | 不受影响 | - | |
| M7.4.3 | 不受影响 | - | |
| M7.4.3R1 | 不受影响 | - | |
| M7.4.2 | 不受影响 | - | |
| AD7.0.9R1 | 不受影响 | - | |
| AD7.0.8R3 | 受影响 |
1、升级到不受影响的高版本。 2、升级SP_AD_JG_01以上的加固补丁包,建议使用巡检工具巡检后升级最新加固包。 |
|
| M7.4.1 | 受影响 | ||
| AD7.0.8R2 | 受影响 | ||
| AD7.0.9 | 受影响 | ||
| AD7.0.8R1 | 受影响 | ||
| AD7.0.8 | 受影响 | ||
| AD7.0.7R2 | 受影响 | ||
| AD7.0.7R1 | 受影响 | ||
| M7.4 | 受影响 | ||
| AD7.0.7 | 受影响 | ||
| AD7.0.5 | 受影响 | ||
| AD6.6R1 | 受影响 | ||
| AD7.0.4 | 受影响 | ||
| AD7.0.3 | 受影响 | ||
| AD7.0.2及之前的历史版本 | 受影响 | ||
| 信创AD | AD7.0.8R4GA及以上版本 | 不受影响 | - |
| AD7.0.8R6FT及以上版本 | 不受影响 | - | |
| 其他信创版本 | 受影响 |
升级到不受影响的高版本 |
攻击者可利用该漏洞获取系统权限。
基础得分:9.8(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
临时得分:9.1(E:F/RL:O/RC:C)
采用CVSS 3.1标准的评分原则,评分标准可参考
攻击者通过 post 请求访问 /rep/login(低版本为/report/login.cgi) 接口可构造恶意参数执行任意代码。
使用版本在受影响范围内且无法打补丁包的情况下,通过关闭WAN口远程维护功能,避免设备直接暴露在公网,配置可信白名单IP允许Web控制台访问,可削减漏洞被利用风险。
可拨打深信服漏洞专属修复热线400-005-5530获取或联系当地服务人员。
内部安全活动发现
无
无
您自深信服服务页面下载使用的任何软件/补丁均为深信服和/或其供应商的版权作品,未经深信服允许,您不得向其他第三方披露相关信息,且除用于服务目的外,您不得将软件/补丁进一步复制、修改、分发、公布、许可、转让、销售或通过反编译等方式尝试提取其源代码。本文件不承诺任何明示、默示和法定的担保,包括但不限于对适销性、适用性及不侵权的担保。在任何情况下,深信服科技股份有限公司或其直接或间接控制的子公司对任何损失,包括直接、间接、偶然、必然的商业利润损失或特殊损失均不承担责任。您以任何方式使用本文件所产生的一切法律责任由您自行承担。深信服可以随时对本文件的内容和信息进行修改或更新。
2023-08-10 V1.0 首次发布
关于我们
扫码获取一对一服务
