我司已关注到国家信息安全漏洞共享平台发布的有关我司产品漏洞的相关信息,现针对前述信息解释和说明如下:
2021年6月6日,国家信息安全漏洞共享平台发布题为《红帆ioffice 10医院版存在SQL注入a漏洞》的漏洞详细信息,内述红帆iOffice 10医院版存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息,目前厂商尚未提供相关漏洞补丁。实际上,相关漏洞我司技术人员早于2019年业已排查发现,并已按照应急响应流程第一时间成立应急事件处理小组,及时对相关漏洞进行了修复。具体修复如下:
//2019年01月28日更新修复:非必须情况下不使用SQL语句拼接,改用执行参数避免数据存在注入;
// 2019年03月15日更新修复:全局拦截api接口,判断传入参数是否包含SQL注入或其他危险字符;
//2020年12月30日更新修复:表单提交方式等无法被全局拦截的接口,针对传入参数进行格式校验。
针对该平台上所列的其他漏洞信息,我司统一解释和说明如下:
//关于2019年06月14日公开的OA信息管理平台残留页面存在XSS漏洞:我司已于2019年1月5日更新修复,医疗版本可通过全局开关控制XSS攻击,低于此版本的需要升级才能解决;
//关于2020年01月12日及2021年3月20日公开的红帆OA系统存在SQL注入漏洞:我司已于2019年1月5日更新修复,医疗版本可通过全局开关控制防SQL注入;
//关于2020年11月11日公开的红帆iOffice医院OA存在任意文件下载漏洞:我司已于2019年4月5日更新修复,通过限制下载文件目录、限制下载文件类型以及限制下载必须登陆手段修复该漏洞;
//关于2021年2月4日公开的iOffice存在文件上传漏洞:我司已于2019年4月5日更新修复,通过配置文件上传白名单,控制文件上传目录,以实现拒绝iis漏洞关于小波浪的使用引发的上传目录越权;
// 关于2021年4月25日公开的红帆iOffice存在逻辑缺陷漏洞:2019年4月5日更新修复,通过加密和随机验证码解决相关问题;
//关于2021年5月2日公开的iOffice.net信息管理平台存在目录遍历漏洞:经我司技术人员排查,该漏洞与我司系统无关,通过设置服务器IIS禁止目录遍历即可。
截止至2020年12月30日,红帆iOffice产品已修复全部SQL注入及其他已公开的漏洞。公司也已第一时间主动逐一联系受影响用户,并协助用户完成系统更新。但由于用户群体庞大,未能及时完全覆盖全部受影响用户,导致相关机构仍在部分用户系统中发现该漏洞。
作为国内一直深耕在医疗行政管控系统的研发及维护服务商,我司承蒙广大用户一直以来的大力支持与配合。对于相关产品漏洞以及我司未及时提供服务为贵单位带来的影响和不便,我司在此致以诚挚的歉意,也请各位客户检查贵单位所用的iOffice系统,如贵单位使用的iOffice10系统的补丁版本号或程序版本号低于20201230(查询方法如下图),iOffice09系统版本号低于20190405的,请务必及时联系我司进行漏洞修复。
随着国家对于信息安全要求越来越严格,我司将进一步加大研发投入,改善管理,加强事前排查与防范,及时响应,提升服务质量,将一切有可能发生的问题提前避免、已发生的问题迅速解决,不辜负广大用户的选择与信任。
