太平洋保险 RPA2020.3.0-20201020 Mybatis 和 fastjson 漏洞

产品名称 ： RPA

产品版本 ： 2020.3.0

漏洞信息 ：

漏洞编号：CVE-2020-26945 
漏洞名称：MyBatis 远程代码执行漏洞

2020年10月6日，MyBatis官方发布了MyBatis 3.5.6版本，修复了一个远程代码执行漏洞，该漏洞编号为CVE-2020-26945。 Mybatis < 3.5.6 高风险 2020年10月6日，MyBatis官方发布了MyBatis 3.5.6版本，修复了一个远程代码执行漏洞，该漏洞编号为CVE-2020-26945。

在满足以下三个条件的时候，攻击者可以触发远程代码执行：
1、用户启用了内置的二级缓存
2、用户未设置JEP-290过滤器
3、攻击者找到了一种修改私有Map字段条目的方法，即修改org.apache.ibatis.cache.impl.PerpetualCache.cache有效的缓存密钥

漏洞编号：暂无 
漏洞名称：Fastjson 远程代码执行漏洞

2017年3月15日，Fastjson 官方发布安全公告，该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞，恶意攻击者可利用此漏洞进行远程代码执行，从而进一步入侵服务器，目前官方已经发布了最新版本，最新版本已经成功修复该漏洞。

解决方案 ：

升级包：FIXBUG_RPA202030_20201020_mybatis_fastjson.zip

1、下载补丁包，解压后把几个文件上传至服务器/isearch/fixbug目录,没有请创建（ps：/isearch为系统安装目录,现场可能是别的路径）。 
2、进入/isearch/fixbug：cd /isearch/fixbug 
3、把上传的文件用户和用户组改成系统安装用户：chown isearch:isearch * 
4、把上传的文件改成可执行权限：chmod +x * 
5、isearch用户执行升级脚本，如果应用安装目录非/isearch，请替换目录：
su - isearch  （ps：isearch为系统安装用户，现场可能是别的用户）
./fixbug.sh -server xxxx -path /isearch/     （ps：xxxx是补丁包的名称，为xxxx.tar.gz包）
6、重启tomcat。