01. DADOS GERAIS
Produto: | TOTVS Saúde Planos |
---|---|
Linha de Produto: | Linha Datasul |
Segmento: | Saúde |
Módulo: | Foundation Saúde (HTZ) |
02. SITUAÇÃO/REQUISITO
Com o uso de ferramentas de teste de penetração (PENTEST), foi identificado uma oportunidade de melhoria na segurança do XML External Entity Injection (XXE) no módulo Foundation Saúde.
03. SOLUÇÃO
A melhoria de segurança ocorre em uma biblioteca do servidor JBoss 4.2. Nela foi realizada uma customização com o objetivo de evitar a exposição a possíveis ataques.
Para utilizar essa versão customizada em seu ambiente é necessário realizar os passos:
- Realizar o download do arquivo: lib-foundation.zip
- Acessar a pasta "../server/default/lib" do JBoss do Foundation e realizar backup do .jar existente (atenção para não deixar o backup na mesma pasta, ele deve ser movido para fora da estrutura do Jboss):
- jbossws-common.jar
- Atualizar o .jar existente com o obtido no passo 1
- Reiniciar o JBoss do Foundation
04. INFORMAÇÕES COMPLEMENTARES
XML external entity (XXE) injection
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas