尊敬的用戶(hù)：

　　您好!感謝您一直以來(lái)對(duì)順景軟件的支持與信任。

　　為了提供更穩(wěn)定、高效、安全的服務(wù)，我們計(jì)劃進(jìn)行系統(tǒng)升級(jí)和優(yōu)化。

　　在此我們向您發(fā)布系統(tǒng)升級(jí)通知：

　　安全更新內(nèi)容：

　　1、 修復(fù)UploadInvtSpFile存在任意文件上傳漏洞

　　2、修復(fù)FileUpload存在任意文件上傳漏洞

　　修復(fù)方法：

　　一、漏洞描述

　　1.原系統(tǒng)存在未授權(quán)(匿名情況下可以上傳)文件上傳接口，未對(duì)上傳文件類(lèi)型進(jìn)行嚴(yán)格校驗(yàn)

　　2.攻擊者可繞過(guò)限制上傳惡意文件(如.jsp、.php、.exe、.asp等)

　　3.可能導(dǎo)致服務(wù)器被植入木馬、數(shù)據(jù)泄露、系統(tǒng)癱瘓等風(fēng)險(xiǎn)

　　二、漏洞處理措施

　　1. 接口層安全加固

　　2.文件類(lèi)型白名單控制

　　3. 特殊業(yè)務(wù)場(chǎng)景隔離(cgInvtSp/UploadInvtSpFile接口)

　　** 因?yàn)樯婕爸匾踩拢ㄗh用戶(hù)及時(shí)升級(jí)服務(wù)器程序及WebAPI至2.0 Build(1.0.0.0.3.4)版本 **

　　安裝升級(jí)包下載地址：

　　升級(jí)操作指引：

　　1、系統(tǒng)升級(jí)程序?yàn)?雙擊運(yùn)行;

　　第一步先點(diǎn)擊數(shù)據(jù)庫(kù)檢查，升級(jí)程序?qū)?huì)自動(dòng)檢查與數(shù)據(jù)庫(kù)連接是否正常，如不正常將會(huì)在DBState提示連接失敗;

　　2、檢查數(shù)據(jù)成功后，在DBState則會(huì)顯示連接正常，勾選需要升級(jí)的數(shù)據(jù)庫(kù)，然后點(diǎn)擊升級(jí)數(shù)據(jù)庫(kù)，程序就會(huì)自動(dòng)進(jìn)行升級(jí)，完成后系統(tǒng)會(huì)提示數(shù)據(jù)庫(kù)腳本升級(jí)完成點(diǎn)擊確定后即可;

　　3、數(shù)據(jù)庫(kù)頁(yè)面升級(jí)完成后，還需要升級(jí)應(yīng)用程序;第一步先點(diǎn)擊應(yīng)用程序頁(yè)面(如下圖)，第二步點(diǎn)擊更新程序，提示更新完成后，點(diǎn)擊確定，完成系統(tǒng)升級(jí);

　　4、升級(jí)WebAPI,將安裝包內(nèi)對(duì)應(yīng)程序的WebAPI文件至系統(tǒng)安裝目錄下WfSoftErpWebAPI文件進(jìn)行替換升級(jí);

　　溫馨提示：網(wǎng)絡(luò)安全，不容小覷

　　1、檢查windows是否最新，更新Windows補(bǔ)丁包;

　　2、開(kāi)啟Windows防火墻，不使用常用端囗80、3389、21等;

　　3、安裝殺毒軟件，定期全盤(pán)掃描;

　　4、把TTX軟件更新到最新版:

　　5、平臺(tái)賬號(hào)密碼使用復(fù)雜密碼，勾選安全測(cè)評(píng)中的密碼加密、密碼強(qiáng)度校驗(yàn)等功能;

　　6、定期做好數(shù)據(jù)備份;