Vulnerabilidades gerais ▪Atualizada a versão de terceiro dígito do Tomcat do Java para corrigir uma falha de segurança conhecida como "Ghostcat"; ▪Atualizada a versão do PHP utilizada no produto para a versão 7+, uma vez que a versão anterior (5.6) estava obsoleta e não recebia mais pacotes de atualização contra vulnerabilidades; ▪Corrigidos diversos recursos previamente suscetíveis à SQL Injection e XSS (Cross-site Scripting), as quais são vulnerabilidades onde um usuário mal intencionado tenta manipular parâmetros na requisição para obter acesso indevido à dados do sistema ou de outros usuários, ou mesmo realizar operações sem a devida permissão; ▪Corrigidos diversos recursos previamente suscetíveis à Local File Inclusion, que é quando um usuário mal intencionado tenta forçar o carregamento de um arquivo arbitrário, como um arquivo do próprio sistema operacional do servidor, no lugar do arquivo oficial da aplicação; ▪Desabilitado o uso de funções do PHP que executam comandos no sistema operacional, por exemplo, exec() e system(), pois são comandos desnecessários para a aplicação, e portanto ao desabilitá-los evita-se que seja criada, inadvertidamente, uma brecha de segurança no sistema por terceiros; ▪Aprimoradas as validações referentes à sessão do usuário para garantir que não seja possível acessar recursos protegidos sem a devida permissão. ▪Algumas informações sobre o login e ambiente foram movidas para armazenamento em memória para evitar que fiquem disponíveis no workspace. Essas informações passam a ser recuperadas apenas na necessidade de utilização da informação pelo sistema. |
Com o objetivo de garantir cada vez mais a segurança da informação, foi criada uma configuração no sistema para exigir a confirmação da contrassenha do usuário quando ele for realizar alguma operação considerada crítica ou sensível no produto.
Esta nova configuração é uma evolução da opção anterior, a qual exigia a contrassenha apenas na abertura das telas de execução da atividade. Logo, a partir de agora, com a nova configuração habilitada, será garantida a confirmação da contrassenha do usuário para uma gama muito maior de operações, como exclusões, homologações, revisões, publicações, entre outras.
Para ter esta segurança adicional no produto, basta habilitar a nova opção na tela de configuração da autenticação do sistema (CM008). A opção é a "Solicitar contrassenha do usuário ao realizar operações críticas nos componentes".
Observação Apenas uma das configurações de confirmação de contrassenha pode ser habilitada pelo fato da nova opção ser uma evolução da anterior. Por isso, recomenda-se o uso da nova opção, que garante a confirmação nas operações críticas, pois ela oferece uma camada de segurança adicional muito superior à provida pela opção anterior. |
Essa nova tela foi criada para administradores do sistema terem maior controle sobre o comportamento da busca geral da SE Suite, e possui três abas: "Status", "Relevâncias" e "Atributos para filtro". Na aba "Status" se pode ver a disponibilidade do serviço de busca e uma lista das indexações realizadas. Além disso, em casos extremos e mediante orientação da SoftExpert, é possível acionar manualmente o processo de indexação.
Na aba de "Relevâncias" é possível aumentar ou diminuir a relevância que a busca geral dá para cada um dos critérios que são levados em consideração na busca. Essa alteração impacta a busca para todos os usuários, portanto deve ser feita com bastante cuidado e critério.
Por fim, na aba "Atributos para filtro" é possível manter uma lista de atributos que estarão disponíveis como filtros para refinamento da busca.
Eles aparecem nos resultados da busca, da seguinte forma:
Foi criada uma opção que permite configurar o tempo pelo qual o usuário ficará bloqueado ao exceder o limite de tentativas inválidas de login.
Inserida opção para permitir que usuários externos se cadastrem para acessar o SE Suite. Para isso, é necessário selecionar uma licença de acesso padrão para esses usuários, e escolher se haverá uma aprovação interna para esses usuários ou não.
Alerta para o uso do Office365 como servidor de envio de e-mails. A Microsoft limita a quantidade de e-mails enviados e recomenda o uso de provedores especializados para envio de e-mails em massa, conforme trecho no site oficial:
Os clientes do Exchange Online que precisam enviar e-mails comerciais em massa legítimos (por exemplo, boletins informativos para clientes) devem usar provedores de terceiros especializados nesses serviços (https://docs.microsoft.com). |
Consulte também as melhorias realizadas neste componente em versões anteriores: