DT Melhoria na segurança do XML External Entity Injection (XXE) no Foundation Saúde

01. DADOS GERAIS

Produto:	TOTVS Saúde Planos
Linha de Produto:	Linha Datasul
Segmento:	Saúde
Módulo:	Foundation Saúde (HTZ)

02. SITUAÇÃO/REQUISITO

Com o uso de ferramentas de teste de penetração (PENTEST), foi identificado uma oportunidade de melhoria na segurança do XML External Entity Injection (XXE) no módulo Foundation Saúde.

03. SOLUÇÃO

A melhoria de segurança ocorre em uma biblioteca do servidor JBoss 4.2. Nela foi realizada uma customização com o objetivo de evitar a exposição a possíveis ataques.

Para utilizar essa versão customizada em seu ambiente é necessário realizar os passos:

Realizar o download do arquivo: lib-foundation.zip
Acessar a pasta "../server/default/lib" do JBoss do Foundation e realizar backup do .jar existente (atenção para não deixar o backup na mesma pasta, ele deve ser movido para fora da estrutura do Jboss):
- jbossws-common.jar
Atualizar o .jar existente com o obtido no passo 1
Reiniciar o JBoss do Foundation

04. INFORMAÇÕES COMPLEMENTARES

XML external entity (XXE) injection

Árvore de páginas

DT Melhoria na segurança do XML External Entity Injection (XXE) no Foundation Saúde

01. DADOS GERAIS

02. SITUAÇÃO/REQUISITO

03. SOLUÇÃO

04. INFORMAÇÕES COMPLEMENTARES