|
漏洞說明
- TVN ID:TVN-202210019
- CVE ID:CVE-2022-39039
- 漏洞主旨:育碁數位科技 a+HRD - Server-Side Request Forgery (SSRF)
- TVN ID:TVN-202210020
- CVE ID:CVE-2022-39040
- 漏洞主旨:育碁數位科技 a+HRD - Path Traversal
- TVN ID:TVN-202210021
- CVE ID:CVE-2022-39041
- 漏洞主旨:育碁數位科技 a+HRD - SQL Injection
- TVN ID:TVN-202210022
- CVE ID:CVE-2022-39042
- 漏洞主旨:育碁數位科技 a+HRD - Improper Authentication
- 影響產品:育碁數位科技 a+HRD v6.8 & v7.0
- 解決方法:更新版本至eHRD6.8.1039V884 & eHRD7.0.1141V291
▌客戶建議:
針對以上第三方善意偵測所發現的漏洞,育碁已修正其潛在風險。如往常,我們會逐一通知受影響的維護合約客戶,並對資安細節保密,以防止被進一步利用。目前提供維護合約中客戶因應方案如下:
- 7.0版本客戶:建議升級至7.0.1141V291以上。
- 6.8版本客戶:建議升級至6.8.1039V884以上。
- 6.7以下版本客戶:請依約小版本升級到6.8.1039V884以上。
- 無維護合約(MA)客戶,若有持續使用系統,可與育碁客服聯繫,了解後續處理方案:
- 電話:02-25178080分機121
- E-mail:aEnrichService@aEnrich.com.tw
- *註:育碁工程與客戶服務資源,一直以來皆是以處理有MA(Maintenance Agreement)維護合約的客戶為優先,若無MA維護合約的客戶單次付費服務,處理時效無法滿足需求時,還請客戶包涵見諒!
- 5.x 版本:由於a+HRD 5.x系統架構已過於老舊,面對「資安」議題防範保護能力趨弱,建議客戶盡速升級至育碁最新版本7.x,並建議於大版本升級到7.x版本前,避免將建置於內網的5.x 系統開放外網使用,以避免遭受日益猖獗的外部網路攻擊。
育碁秉持敏捷服務與透明公開的原則,在外部資安相關組織資訊揭露的同時將通知維護合約中客戶的關係人,同時於官網資安公告區公告解決對策,並且準備好提供諮詢與行動對策;若育碁維護中客戶須要進一步確認,請隨時與您的專屬服務窗口聯繫。
| 
