Oznámení zabezpečení Apache Struts2-Global Version

Bezpečnostní upozornění - Upozornění na zranitelnost serveru Apache Struts2 v některých platformách iVMS společnosti Hikvision

SN č.：HSRC-201703-05

Edit: HikvisionSecurity Responding Center (HSRC)

Datum prvního vydání: 06.04.2017

Popisy:

Apache Struts 2 je jedním z populárních vývojových frameworků pro webové aplikace v jazyce Java. Nedávno však bylo zjištěno, že Jakarta Multipart parser, zásuvný modul Apache Struts 2, obsahuje zranitelnost vzdáleného spuštění kódu. Útočníci mohou spustit škodlivý vzdálený zdrojový kód úpravou Content-Type v požadavku HTTP při nahrávání souborů pomocí takového modulu plug-in. Další informace naleznete na oficiálních stránkách ApacheStruts2: https://struts.apache.org/docs/s2-045.html

Dotčené produkty:

iVMS-5200 Professional základní verze V3.3.4 a starší, včetně subsystémů Mobile a ANPR.
Základní verze Blazer Pro v1.0

Řešení:

Společnost Hikvision zveřejnila opravu pro aktualizaci Apache Struts 2 na nejnovější verzi Struts 2.3.32 a 2.5.10.1, kterou Apache Struts oficiálně vydal za účelem opravy potenciální zranitelnosti:

1. Stáhněte si opravu z oficiálních stránek společnosti Hikvision:

iVMS-5200 Professional, včetně mobilních systémů a subsystémů ANPR: Klikněte zde
Blazer Pro v1.0: Klikněte zde

2. Zkopírujte opravný soubor 5200P-ST&FJ-201703.exe na plochu počítače nebo softwaru Blazer Pro, kde je spuštěna služba Central Management Server softwaru iVMS.

3. Správce služeb zavřete kliknutím na tlačítko Exit v oznamovací oblasti.

4. Dvakrát klikněte na opravu a spusťte ji. Oprava zkontroluje spuštěné prostředí, zastaví služby softwaru iVMS, nahradí dotčené soubory a znovu spustí služby. Pokud se zobrazí níže uvedené rozhraní, znamená to, že systém byl úspěšně aktualizován a vrátil se do normálního stavu.

5. Restartujte Správce služeb.

Pokud máte jakékoli pochybnosti o postupu aktualizace, neváhejte se obrátit na místní tým podpory společnosti Hikvision nebo na adresu support@hikvision.com.

Kontaktujte nás:

V případě bezpečnostního problému nebo obavy kontaktujte Hikvision Security Response Center na adrese hsrc@hikvision.com.