資安公告
首頁 > 服務 > 資安公告
育碁發布CVE-2022-28741,28742,28740漏洞因應修補資安公告
2022/08/16

漏洞說明

CVE ID Finding
CVE-2022-28741 VLN-H-01: Application Vulnerable to Local File inclusion(Unauthenticated)
CVE-2022-28742 VLN-H-02: Unauthenticated Access to Application Pages
CVE-2022-28740 VLN-M-01: Internal URL and Business Logic Disclosure
參考資訊:cve.mitre.org


影響產品
育碁數位科技 a+HRD 5.x
(5.x 銷售期間介於2010~2015年,2015年底之後銷售的 a+HRD 6.x及2020年之後銷售的 a+HRD 7.x 都無以上漏洞)

解決方法
育碁 a+HRD 5.x持續使用中的客戶,建議及早大版本升級到a+ HRD 7.x;或將現行使用中的 a+HRD 5.x project base更新版本至eHRD以下各對應版號以上

  • 5.4.1125V112
  • 5.5.1098V156
  • 5.6.1067V110

▌客戶建議:

針對以上第三方善意偵測所發現的漏洞,我們已針對 eHRD 5.4~5.6 修正潛在風險。如往常,我們會逐一通知受影響的維護合約客戶,並對資安細節保密,以防止被進一步利用。目前提供維護合約中客戶因應方案如下:

  • 5.3以下版本的客戶:請依約小版本升級到5.6.1067V110以上
  • 5.4~5.6版本客戶:建議升級至以下對應版本,可以解決公告的問題
    ・5.4.1125V112
    ・5.5.1098V156
    ・5.6.1067V110
  • 5.6以下無維護合約(MA)客戶,若有持續使用系統,建議儘早與育碁客服單位主管聯繫,可採用無MA維護客戶的單次付費服務,執行相關程式更新。請洽以下連絡資訊:
    ・電話:02-25178080分機327
    ・E-mail:aEnrichService@aEnrich.com.tw

*註:育碁工程與客戶服務資源,一直以來皆是以處理有MA(Maintenance Agreement)維護合約的客戶為優先,若無MA維護合約的客戶單次付費服務,處理時效可能會有無法滿足需求時,還請客戶包涵見諒!

由於a+HRD 5.x系統架構已過於老舊,面對「資安」議題防範保護能力趨弱,建議客戶盡速升級至育碁最新版本7.x,並建議於大版本升級到7.x版本前,避免將建置於內網的5.x 系統開放外網使用,以避免遭受日益猖獗的外部網路攻擊。

育碁秉持敏捷服務與透明公開的原則,在外部資安相關組織資訊揭露的同時將通知維護合約中客戶的關係人,同時於官網資安公告區公告解決對策,並且準備好提供諮詢與行動對策;若育碁維護中客戶須要進一步確認,請隨時與您的專屬服務窗口聯繫。

參考資訊

・2022/7/18【敏捷/透明/連結/資安】育碁產品服務營運理念》(第十五版):資安主題報告
・2022/6/15:育碁a+HRD 4.X和5.X舊版系統客戶,因應IE停止支援後升級7.x建議
・2022/3/30:因應行動資安,育碁領先eHRD業界,取得MAS資安標章,即將於4/29上架最新版「a+HRD APP 1.0.44」(支援a+MPS 6.x/7.x)!