软件维护和支持服务
安讯奔的 “全球软件维护和支持服务”(Global Software Maintenance and Support Services,简称 “GSS”)规定,安讯奔及其公司集团(简称 “安讯奔”)与客户约定的软件产品和解决方案(即 AccessMatrix、AccessReal 和 YESsafe)的维护和支持服务的范围。
GSS 和 “最终用户软件许可协议”(End-user Software License Agreement,简称 “EULA”)是安讯奔与客户协议的组成部分。
安讯奔对非正式发布的软件产品不提供技术支持服务,并保留修改产品支持服务政策的权利。
本页面包含以下标签页。
- 一般公告 – 包含最新的产品和安全相关信息
- 服务和法律/支持文档 – 包含服务、法律和支持文档
背景
在UCM 6.0.3版本之前,UCM客户需要在Chromium内核浏览器中安装USO Chrome Extension以实现从UCM Web Access单点登录到目标资源。
目前,UCM客户使用的USO Chrome Extension的版本为Manifest V2:
* 若UCM客户的浏览器中安装的是USO Chrome Extension (Manifest V2),基于“谷歌宣布未来将禁用Manifest V2 extensions”的通知,为不影响客户使用UCM产品,我们建议客户升级到UCM Chrome Extension (Manifest V3)。
基于上述原因,我们需要将UCM 客户端进行升级,以使UCM完全不依赖于USO Chrome Extension,仅使用UCM Chrome Extension(Manifest V3)即可实现以下功能:
- 在Chromium内核浏览器中使用UCM Web Access时能与UCM 客户端进行交互。
- 实现“Chromium内核浏览器启动程序”的单点登录。
解决方案
从UCM 6.0.3开始,我们将不再使用USO Chrome Extension,仅使用UCM Chrome Extension(Manifest V3),以简化客户端的部署步骤。
执行版本:
- UCM 6.0.5.0520-GA
- UCM 6.0.4.0416-GA-E03
- UCM 6.0.3.0319-GA-E12
UCM客户升级方案:
- 使用UCM 6.0.4的客户请升级到UCM 6.0.4.0416-GA-E03或UCM最新版本
- 使用UCM 6.0.3的客户请升级到UCM 6.0.3.0319-GA-E12或UCM最新版本
- 使用UCM 5.6.2的客户请升级到5.6.2.6209-GA-E17-U04或UCM最新版本
- 使用UCM 5.6.4的客户请升级到5.6.4.6406-GA-U02或UCM最新版本
- 使用UCM 5.6.8的客户请升级到5.6.8.6807-GA-E16-U33或UCM最新版本
备注:若您使用的是 UCM 5.6.X 版本,除了 5.6.2、5.6.4和5.6.8 版本可使用升级补丁包外,其他版本仅支持使用 USO Chrome Extension Manifest V2。
常见问题
Q1:如何为Chromium内核浏览器安装 UCM Chrome Extension?
安装步骤如下:
- 访问Google浏览器网上应用店(网址:https://chrome.google.com/webstore)
- 搜索”UCM Chrome Extension”,点击”添加至Chrome”即可。
Q2: 如何配置“Chromium内核浏览器启动程序”?
配置步骤如下:
登录 UCM 控制台,创建”Chromium内核浏览器启动程序”,并填写相关必填字段信息:
- 在”*服务器主机名称或IP地址”字段中填写目标资源的 IP 地址。
- 在”*启动 URL”字段中填写目标资源的启动URL,如”/login.php”。
- 相关”*JavaScript代码”字段的配置,您可参考示例代码进行修改,以”*功能是登录的Javascript代码”字段的示例代码为例:
v1=this.document.getElementById(“user_login”);v1.value=userid;
v2=this.document.getElementById(“user_pass”);v2.value=oldpwd;
v3=this.document.getElementById(“submit”);v3.click();
其中”userid”和”oldpwd”应改为对应凭证的”用户标识”和”密码”。
备注:使用此启动程序前,请确保已在服务器端安装了UCM连接器网关。
此启动程序对应的连接器类型是“Webportal连接器(Chrome)”。
Q3:如果客户在较长时间内不打算更新他们的UCM会有什么影响?
这将取决于Google禁用Manifest V2 Extension的日期。在那之后,当UCM客户登录到UCM Web Access时,UCM客户端将会出现“脱机”的问题。
解决方案:
您可以先检查当前使用的UCM版本是否有可用的补丁包。若有可用的补丁包,您可以使用该补丁包进行升级即可。若您当前使用的UCM版本没有相应的补丁包,那么您需要按本文“执行版本”中指定的UCM版本进行升级。
背景信息
SSO 门户和 USO 客户端使用 USO Chrome 扩展程序 [Chrome 扩展程序 ID:cfaiemjbjcbagnibmlflmmfccfdmnbek],以实现在 Chrome 网络浏览器上实现网络应用的单点登录(SSO)。此 USO Chrome 扩展程序在 Chrome 网上商店中发布,该扩展程序使用的是 Manifest V2 格式。Manifest 是 Google 为 Chrome 扩展程序及其元数据定义的文件格式。几年前,Google 已宣布会转向使用 Manifest V3(新的 Manifest 版本)。然而,向 V3 的升级过渡已被推迟了几次。
在 2023 年 11 月 16 日,Google 宣布了此次升级过渡的最终截止日期:
“我们最早将于 2024 年 6 月开始,在 Chrome 127 及更高版本中禁用之前稳定版 Chrome(Dev、Canary 和 Beta)中的 Manifest V2 扩展。受此次过渡影响的用户,将会发现他们的浏览器中的 Manifest V2 扩展被自动禁用,并且无法再安装来自 Chrome 网上商店的 Manifest V2 扩展。”
来源: https://developer.chrome.com/blog/resuming-the-transition-to-mv3/(2024 年 1 月 15 日的 URL)
由于这一转变,建议 USO 客户升级 USO Chrome 扩展程序(Chrome Manifest V3) [Chrome 扩展 ID:bfffjeneelooklefkmdigdfpnpfnfeac]。用户可以通过下方Chrome 网上应用商店的链接,来获取此 Manifest V3 扩展程序:https://chrome.google.com/webstore/detail/uso-chrome-extension-chro/bfffjeneelooklefkmdigdfpnpfnfeac。经验证,可与此 Manifest V3 扩展配合使用的 USO 客户端的最旧版本是 USO 客户端 5.6.2.0013-GA-E11。
如果您无法访问 Chrome 网上应用商店获取 USO Manifest V3 扩展程序,请联系安讯奔:support@axbsec.com
常问问题与答案
Q1. 如果不升级,我可以继续使用 SSO 门户吗?
如果不升级 Chrome 浏览器版本,您仍然可以继续使用配有当前 USO Chrome 扩展程序(Manifest V2)的 SSO 门户。但是,Manifest V2 扩展程序后续接收不到来自安讯奔产品的新功能或对缺陷的修复。
Q2. USO Chrome 扩展程序 Manifest V2 和 V3 有什么区别?
USO Chrome 扩展程序的新功能和对缺陷的修正,将仅增加到 Manifest V3 扩展程序。
Q3. 为什么安讯奔不能为 USO Chrome 扩展程序(Manifest V2)提供新功能或对缺陷的修正?
为了生成 Chrome 扩展程序 .crx 文件,安讯奔必须上传编译的源代码到 Google 以进行扫描和审批。由于 Google 已停止接受使用 Manifest V2 的上传文件,因此安讯奔无法使用 Manifest V2来提供新的 .crx 文件。
Q4. 我是否仍可以在 Chrome 网上应用商店中找到并安装 USO Chrome 扩展程序(Manifest V2)?
截止至本通知发布时,Chrome 网上应用商店仍提供 USO Chrome 扩展程序(Manifest V2)。然而,Google 可能会在不久的将来删除它(请参考上文“背景信息”部分的链接文章)。
Q5. 我是否仍可以使用安讯奔提供的 .crx 文件来安装 USO Chrome 扩展程序(Manifest V2)?
这取决于所您使用的 Chrome 版本。截止至本通知发布时,您仍可以使用安讯奔提供的 .crx 文件来安装 Manifest V2 扩展程序。但是,在较新版本的 Chrome 中,Google 将禁止安装 Manifest V2 扩展程序。
Q6. 我是否需要升级 AM 服务器或 USO 客户端才能使用新的 USO Chrome 扩展程序 (Manifest V3)?
您无需升级 AM 服务器,也可使用新的 USO Chrome 扩展程序(Manifest V3)。
如果您使用的是 USO 客户端版本5.6.2.0013-GA-E11及以上版本,则无需升级。
Q7. 为什么安讯奔不把当前的 USO Chrome 扩展程序从 Manifest V2 升级到 V3? 为什么安讯奔发布 2 个版本?
目前,安讯奔仍有许多客户使用 Manifest V2 扩展程序。为了尽量减少升级的影响,安讯奔决定发布 2 个版本。然而,当客户完成从 Manifest V2 到 V3 的升级,安讯奔将会删除旧的扩展程序。
如果您在下载补丁文件或执行上述步骤时遇到任何问题,请联系安讯奔:support@axbsec.com
摘要
AccessMatrix 使用的 Apache Log4j2 开源库中存在漏洞。但是,只有 AccessMatrix 5.6.5 及更高版本会受到 Log4j2 漏洞的影响。
因此,使用安讯奔的 AccessMatrix AM 服务器和其他 AM Web 应用(CLP / OAuthProxy / USO Server / USO SSF / UAS TAP) 5.6.5 或更高版本的客户,请留意本文的内容,以应对漏洞。
漏洞信息
AccessMatrix 5.6.5 或更高版本(即 5.6.5 到 5.7.1),捆绑了 Apache Log4j2 2.11.2 或更高版本。这些版本受最近的 Apache Log4j2 安全漏洞影响。在捆绑的 Apache Tomcat 部署中,受影响的版本默认与 Java 8 或更高版本捆绑在一起。 Apache 提供了补丁来解决 Log4j2 漏洞问题:
- CVE-2021-44228 – AccessMatrix 5.6.5 或更高版本受到影响; Apache 已发布 Log4j2 2.15.0 作为永久补救措施,AccessMatrix 5.6.5 或更高版本支持将捆绑的 Log4j2 直接修补到此 Log4j2 2.15.0。
- CVE-2021-45046 – AccessMatrix 5.x 默认不受影响; AccessMatrix 5.x 版日志配置不包括Context查找(如 ${ctx:loginId} 或 $${ctx:loginId})(备注:您可以前往 am5/WEB-INF/classes/amlog4j2.properties,查看它的内容以确认); Apache 已发布 Log4j2 2.16.0 作为永久补救措施。AccessMatrix 5.x 支持将捆绑的 Log4j2 直接修补到此 Log4j2 2.16.0。
- CVE-2021-45105 – AccessMatrix 5.x 默认不受影响; AccessMatrix 5.x 版日志配置不包括Context查找(如 ${ctx:loginId} 或 $${ctx:loginId})(备注:您可以前往 am5/WEB-INF/classes/amlog4j2.properties,查看它的内容以确认); Apache 已发布 Log4j2 2.17.0 作为永久补救措施,AccessMatrix 5.x 支持将捆绑的 Log4j2 直接修补到此 Log4j2 2.17.0。
结论:
- 对于AccessMatrix 5.6.5 或更高版本(使用Java 8 或更高版本),将AccessMatrix 捆绑的Log4j2 直接修补到17.0,这是对上述发布的安全漏洞的直接永久补救措施。
- 对于AccessMatrix 5.6.5 或更高版本(使用Java 7 或更早版本),请咨询安讯奔的全球支持顾问。
- 对于 AccessMatrix 5.6.4 或更早版本,不需要任何操作。
步骤说明
您应该首先找出当前的AccessMatrix 版本,以确定它是否受到上述Log4j2 漏洞的影响。如需查看版本,请访问 AccessMatrix 管理控制台,然后点击“帮助”->“关于”菜单选项,在 “关于 AccessMatrix”对话框中,会显示的当前 AM 服务器版本。
请点击下方链接,然后下载补丁文件:
如果您无法从上方链接下载补丁文件,请从 Apache 官网下载:https://www.apache.org/dyn/closer.lua/logging/log4j/2.17.0/apache-log4j-2.17.0-bin.zip
下载补丁文件后,请执行下方步骤:
- 对于在高可用性(HA)架构中运行的每个 AM服务器服务,请对每个服务器执行以下步骤。
- 停止 AM服务器服务。
- 从am5/WEB-INF/lib中删除以下三个文件(为了备份,必须将这三个文件移动到当前am5 web app文件夹之外的其它文件夹中):
- oss-org-apache-log4j-core-2.12.0.jar 或 log4j-core-2.12.0.jar
- oss-org-apache-log4j-api-2.12.0.jar或log4j-api-2.12.0.jar
- oss-org-apache-log4j-1.2-api-2.12.0.jar或log4j-1.2-api-2.12.0.jar
- 将以下三个文件(从下载的补丁文件中获取)复制到am5/WEB-INF/lib:
- oss-org-apache-log4j-core-2.17.0.jar
- oss-org-apache-log4j-api-2.17.0.jar
- oss-org-apache-log4j-1.2-api-2.17.0.jar
注意:如果您是从Apache官网下载补丁文件,则需要对上述三个文件进行相应的重命名。
- 如果有除“am5”以外的网络应用,请替换每个网络应用的 /WEB-INF/lib 文件夹中的 JAR 文件(请参阅第 3 步和第 4 步)。
- 如果您在之前的修补活动中应用了 JVM 参数“-Dlog4j2.noFormatMsgLookup=true”,则可以删除此 JVM 参数。
- 启动 AM 服务器服务。
如果您在下载补丁文件或执行上述步骤时遇到任何问题,请联系安讯奔:support@axbsec.com
声明
网站内容
本网站包含的信息,包括但不限于“产品发布和支持”和任何参考信息,并非具有法律约束力的承诺。
增加、修改和删除
安讯奔将不定期增加、修改或删除本网站上的任何信息,恕不另行通知。请定期查询安讯奔官网以了解是否所有更新。
此页面上的信息受免责声明约束。
最近更新:07/April/2022