安全公告–关于Fastjson 反序列化远程代码执行漏洞处置说明

一、漏洞概述

fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。

我司涉及的产品/功能如下:i2DTO,i2Stream,i2BigData, Hadoop的备份和恢复。

二、漏洞等级

漏洞等级:【严重】

三、漏洞影响范围

影响版本:目前已发布的所有版本

四、漏洞处置

  1. i2DTO (受影响的版本:i2DTO 7.1.72 ≤ 7.1.72.21090919;i2DTO 7.1.74≤7.1.74.22042122)
    ●  后续版本已升级依赖包。
    ●  历史版本临时处理方法:
    修改/usr/local/i2dto/dto/start-synchost.sh文件中增加参数,重启服务。
    ../jdk/bin/java -Xms128m -Xmx8192m -Dfastjson.parser.safeMode=true -Djava.library.path=lib com.i2.dto.sync.SyncMain
  2. i2Stream (受影响版本:截止于2022/5/26之前发布的全部版本)
    ●  后续版本升级依赖包。
    ●  历史版本临时处理方法:
    启动脚本,添加 -Dfastjson.parser.safeMode=true
  3. i2BigData, Hadoop的备份和恢复 (受影响版本:i2UP7.1.72 ≤7.1.72.22011718;i2UP 7.1.74 ≤7.1.74.22042122)
    ●  后续版本已升级依赖包。
    ●  历史版本临时处理方法:
    修改i2bb.sh将 nohup java -Xmx3550m -Xms3550m -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
    修改为
    nohup java -Xmx3550m -Xms3550m -Dfastjson.parser.safeMode=true -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
    修改hjob.sh,
    将 export HADOOP_CLIENT_OPTS=”-Djava.io.tmpdir=${TMP_PATH}”
    修改为
    export HADOOP_CLIENT_OPTS=”-Dfastjson.parser.safeMode=true -Djava.io.tmpdir=${TMP_PATH}”

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助
英方会发布并持续更新安全通告:安全公告 – 英方发布 (info2soft.com)

安全通告 – Linux Polkit 权限提升漏洞风险通告(CVE-2021-4034)

一、漏洞概述

近日,国外安全团队发布安全公告称,在 polkit 的 pkexec 程序中发现了一个本地权限提升漏洞。pkexec 应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。 由于当前版本的 pkexec 无法正确处理调用参数计数,并最终会尝试将环境变量作为命令执行。攻击者可以通过控制环境变量,从而诱导 pkexec 执行任意代码。利用成功后,可导致非特权用户获得管理员权限。

二、风险等级

目前漏洞POC已被泄露,攻击者利用该漏洞可导致恶意用户权限提升等危害

三、影响范围

i2Box备份一体机的预安装系统CentOS 6.8、 CentOS 7.7

i2CDM发布的虚拟化系统CentOS 7.7

四、安全版本

CentOS系列:

CentOS 6:polkit-0.96-11.el6_10.2

CentOS 7:polkit-0.112-26.el7_9.1

 

五、修复建议

CentOS 7:
yum clean all && yum makecache && yum update polkit -y

或者:
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/polkit-0.112-26.el7.x86_64.rpm && rpm -Uvh polkit-0.112-26.el7.x86_64.rpm

CentOS 6:
wget http://mirrors.aliyun.com/centos-vault/6.10/os/x86_64/Packages/polkit-0.96-11.el6.x86_64.rpm && rpm -Uvh polkit-0.96-11.el6.x86_64.rpm

 

参考链接

  • https://access.redhat.com/security/cve/CVE-2021-4034
  • https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt

安全通告–关于 Apache Log4j2 远程代码执行漏洞处置说明

一、概要

Apache Log4j2存在一处远程代码执行漏洞,在引入Apache Log4j2处理日志时,会对用户输入的内容进行一些特殊的处理,攻击者可以构造特殊的请求,触发远程代码执行。漏洞细节被公开,漏洞POC已在互联网出现,风险较高。
我司涉及的产品如下:i2Stream,i2Active(除Oracle外),i2DTO,i2VP

二、威胁级别

威胁级别:【严重】

三、漏洞影响范围

影响版本:目前已发布的所有版本

四、漏洞处置

若无必要,禁止业务对外网暴露

处置规避措施:
i2Stream产品:
1.停止相关规则
2.在软件安装根目录下的bin目录下的启动脚本,java命令后增加参数 “-Dlog4j2.formatMsgNoLookups=true”
3.重启进程,再继续启动规则

I2DTO产品:
Linux同步主机:
修改:/usr/local/i2dto/dto/start-synchost.sh, 增加参数 “-Dlog4j2.formatMsgNoLookups=true”
重启DTO服务,然后登录i2UP控制台启动DTO规则。

Windows同步主机:
增加Windows系统量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS
将其值设置为 true
重启i2DTO服务,然后登录i2UP控制台启动DTO规则。

NPServer:
Linux:
修改启动文件:/etc/init.d/npsvr,搜索java命令,在每个java命令后增加参数 “-Dlog4j2.formatMsgNoLookups=true”

Windows:
处理方法参考i2DTO的Windows处理方法,然后重启NPServer服务。

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助

安全公告-关于i2Enterprise 6.1-34351版本控制机启用http访问的安全隐患说明

以下通报英方软件i2Enterprise 6.1-34351版本控制机使用方面的密码安全隐患,请在有对应使用场景的用户引起重视。

版本信息描述:6.1-34351
版本发布时间:2019年8月6日
版本发布状态:发布

 

1、隐患描述

i2Enterprise 6.1-34351默认采用https协议访问控制机,如因特殊需求配置启用http的方式,则需要特别注意。
http协议,服务器与web浏览器之间的交互信息未采用ssl加密,当遭受某些特定攻击时(比如,使用漏洞扫描软件进行扫描),交互信息一旦被拦截,控制机的用户名和密码等信息可能会被窃取。

版本说明:
从6.1-30987版本开始,才改为默认使用https ,之前版本均默认采用http。使用旧版的用户也需要特别注意。

2、影响范围

软件版本:6.1-34351版本,或6.1-29838之前版本
功能模块:i2Enterprise
影响程度:Critical
隐患来源:软件配置使用

3、隐患说明

原因:
HTTP协议进行数据传输是采用明文格式,没有采取任何加密措施,用户的重要数据很容易被窃取。

影响:
控制机的登录信息可能会被窃取,攻击者可以利用窃取到的信息登录到灾备管理界面,任意操作被管理的节点,以及他们之间的复制关系或容灾规则,比较危险。

4、强制措施

找到控制机安装路径下的.htaccess文件。

文件默认路径:
C:\Program Files (x86)\info2soft-ctrlcenter\Apache24\htdocs\.htaccess
/var/www/html/i2/.htaccess
第一行参数RewriteEngine为on时,默认关闭http方式,而采用https安全访问。当该值为off时,则会启用http方式。如在使用6.1-30987及之后的版本,建议不要更改默认配置,请保持RewriteEngine的值为off。

安全公告-关于i2node 6.1版本针对Windows 2016的兼容性问题声明

经确认,英方软件i2node 6.1版本针对Windows 2016暂时还存在一定兼容性问题,表现为,安装i2node软件运行一段时间后,操作系统的桌面程序崩溃,显示黑屏,需通过任务管理器重新打开explorer.exe才可恢复。

 

问题类型定位
软件兼容性问题

问题影响范围
拥有i2node 6.1-21141以下版本软件介质,并已经或将要在Windows 2016 x64中安装的用户。

问题解决办法
该问题的解决办法请参考如下链接:
i2node for Windows 2016兼容性问题处理办法