以下通报英方软件i2Enterprise 6.1-34351版本控制机使用方面的密码安全隐患,请在有对应使用场景的用户引起重视。
版本信息描述:6.1-34351
版本发布时间:2019年8月6日
版本发布状态:发布
1、隐患描述
i2Enterprise 6.1-34351默认采用https协议访问控制机,如因特殊需求配置启用http的方式,则需要特别注意。
http协议,服务器与web浏览器之间的交互信息未采用ssl加密,当遭受某些特定攻击时(比如,使用漏洞扫描软件进行扫描),交互信息一旦被拦截,控制机的用户名和密码等信息可能会被窃取。
版本说明:
从6.1-30987版本开始,才改为默认使用https ,之前版本均默认采用http。使用旧版的用户也需要特别注意。
2、影响范围
软件版本:6.1-34351版本,或6.1-29838之前版本
功能模块:i2Enterprise
影响程度:Critical
隐患来源:软件配置使用
3、隐患说明
原因:
HTTP协议进行数据传输是采用明文格式,没有采取任何加密措施,用户的重要数据很容易被窃取。
影响:
控制机的登录信息可能会被窃取,攻击者可以利用窃取到的信息登录到灾备管理界面,任意操作被管理的节点,以及他们之间的复制关系或容灾规则,比较危险。
4、强制措施
找到控制机安装路径下的.htaccess文件。
文件默认路径:
C:\Program Files (x86)\info2soft-ctrlcenter\Apache24\htdocs\.htaccess
/var/www/html/i2/.htaccess
第一行参数RewriteEngine为on时,默认关闭http方式,而采用https安全访问。当该值为off时,则会启用http方式。如在使用6.1-30987及之后的版本,建议不要更改默认配置,请保持RewriteEngine的值为off。