关于WAS远程执行任意指令漏洞修复方案的公告

WAS远程命令安全补丁更新通知

近期有客户被远程命令执行漏洞攻击，黑客利用此漏洞，可直接破坏软件系统、获取服务器权限、植入木马病毒，攻击服务器等。经排查主要是利用WAS中间件存在的缺陷对系统造成攻击。

针对此漏洞总部发布安全解决方案，来避免客户服务器被攻击。该方案主要涉及NC产品本身(方案升级) 以及WAS各个版本解决方案(增加)。请一线机构务必高度重视，各机构高端客户成功总监负责所属机构所有项目，及时为所属机构客户进行安装，规避项目风险。

一、NC/NC Cloud产品线（方案升级）

影响版本：NC5X / NC6X / NCC1903

解决方案：

以上补丁链接下载地址，建议使用《安全补丁检查工具》更新此漏洞，详见云盘链接：https://pan.yonyou.com/s/v5fT9oUPR9s  密码：hyvt

二、WAS中间件（新增方案）

影响版本：WAS6 / WAS7 / WAS8 / WAS9

解决方案：

1). WAS6

官方反馈此版本不存在此漏洞

2). WAS7

对于 Version 7.0.0.0 到 7.0.0.39：

应用临时修复PI52103

或者

升级到Version 7.0.0.41或更高版本修复。

2). WAS8

对于 Version 8.0.0.0 到 8.0.0.11：

应用临时修复PI52103

或者

升级到Version 8.0.0.12 或更高版本修复。

对于 Version 8.5.0.0 到 8.5.5.7：

应用临时修复PI52103

或者

升级到Version 8.5.5.8 或更高版本修复。

3). WAS9

对于 Version 9.0.0.0 到 9.0.5.1：

根据临时修订的要求升级到最低修订包级别，然后应用临时修订PH16353

或者

升级到Version 9.0.5.2 或更高版本修复。

说明：was软件本身的漏洞不能通过安全补丁工具修复，只能通过下载补丁更新；除本通知中的漏洞，也建议定期去官网把当前版本对应的高危补丁全部打上。

WAS补丁下载&部署指南：

三、部署完验证

部署完后可以用这个工具进行验证(含视频操作步骤)：

https://pan.yonyou.com/s/hIpAtJnTic密码：hiax