Show/Hide Toolbars

Release Notes

Correção de vulnerabilidades

Vulnerabilidades gerais

Atualizada a versão de terceiro dígito do Tomcat do Java para corrigir uma falha de segurança conhecida como "Ghostcat";

Atualizada a versão do PHP utilizada no produto para a versão 7+, uma vez que a versão anterior (5.6) estava obsoleta e não recebia mais pacotes de atualização contra vulnerabilidades;

Corrigidos diversos recursos previamente suscetíveis à SQL Injection e XSS (Cross-site Scripting), as quais são vulnerabilidades onde um usuário mal intencionado tenta manipular parâmetros na requisição para obter acesso indevido à dados do sistema ou de outros usuários, ou mesmo realizar operações sem a devida permissão;

Corrigidos diversos recursos previamente suscetíveis à Local File Inclusion, que é quando um usuário mal intencionado tenta forçar o carregamento de um arquivo arbitrário, como um arquivo do próprio sistema operacional do servidor, no lugar do arquivo oficial da aplicação;

Desabilitado o uso de funções do PHP que executam comandos no sistema operacional, por exemplo, exec() e system(), pois são comandos desnecessários para a aplicação, e portanto ao desabilitá-los evita-se que seja criada, inadvertidamente, uma brecha de segurança no sistema por terceiros;

Aprimoradas as validações referentes à sessão do usuário para garantir que não seja possível acessar recursos protegidos sem a devida permissão.

Algumas informações sobre o login e ambiente foram movidas para armazenamento em memória para evitar que fiquem disponíveis no workspace. Essas informações passam a ser recuperadas apenas na necessidade de utilização da informação pelo sistema.

 

Confirmação de contrassenha para operações críticas

Com o objetivo de garantir cada vez mais a segurança da informação, foi criada uma configuração no sistema para exigir a confirmação da contrassenha do usuário quando ele for realizar alguma operação considerada crítica ou sensível no produto.

Esta nova configuração é uma evolução da opção anterior, a qual exigia a contrassenha apenas na abertura das telas de execução da atividade. Logo, a partir de agora, com a nova configuração habilitada, será garantida a confirmação da contrassenha do usuário para uma gama muito maior de operações, como exclusões, homologações, revisões, publicações, entre outras.

Para ter esta segurança adicional no produto, basta habilitar a nova opção na tela de configuração da autenticação do sistema (CM008). A opção é a "Solicitar contrassenha do usuário ao realizar operações críticas nos componentes".

 

configuration_213-01

 

Observação

Apenas uma das configurações de confirmação de contrassenha pode ser habilitada pelo fato da nova opção ser uma evolução da anterior. Por isso, recomenda-se o uso da nova opção, que garante a confirmação nas operações críticas, pois ela oferece uma camada de segurança adicional muito superior à provida pela opção anterior.

 

Menu de configuração da Busca geral (CM032) youtube_play_24

Essa nova tela foi criada para administradores do sistema terem maior controle sobre o comportamento da busca geral da SE Suite, e possui três abas: "Status", "Relevâncias" e "Atributos para filtro". Na aba "Status" se pode ver a disponibilidade do serviço de busca e uma lista das indexações realizadas. Além disso, em casos extremos e mediante orientação da SoftExpert, é possível acionar manualmente o processo de indexação.

 

configuration_213-02

 

Na aba de "Relevâncias" é possível aumentar ou diminuir a relevância que a busca geral dá para cada um dos critérios que são levados em consideração na busca. Essa alteração impacta a busca para todos os usuários, portanto deve ser feita com bastante cuidado e critério.

 

configuration_213-03

 

Por fim, na aba "Atributos para filtro" é possível manter uma lista de atributos que estarão disponíveis como filtros para refinamento da busca.

configuration_213-04

 

Eles aparecem nos resultados da busca, da seguinte forma:

configuration_213-05

 

Tempo pelo qual o usuário ficará bloqueado

Foi criada uma opção que permite configurar o tempo pelo qual o usuário ficará bloqueado ao exceder o limite de tentativas inválidas de login.

configuration_213-06

 

Autocadastro de usuários externos

Inserida opção para permitir que usuários externos se cadastrem para acessar o SE Suite. Para isso, é necessário selecionar uma licença de acesso padrão para esses usuários, e escolher se haverá uma aprovação interna para esses usuários ou não.

configuration_213-07

 

Recomendação: Evitar utilizar o Office365 como servidor de e-mail

Alerta para o uso do Office365 como servidor de envio de e-mails. A Microsoft limita a quantidade de e-mails enviados e recomenda o uso de provedores especializados para envio de e-mails em massa, conforme trecho no site oficial:

 

Os clientes do Exchange Online que precisam enviar e-mails comerciais em massa legítimos (por exemplo, boletins informativos para clientes) devem usar provedores de terceiros especializados nesses serviços (https://docs.microsoft.com).

 

Versões anteriores

Consulte também as melhorias realizadas neste componente em versões anteriores: