安全提示：东方通TongHttpServer负载均衡软件 http_rewrite_module 模块在处理特定 rewrite 指令时存在堆缓冲区溢出安全风险。

版本检查：

# 进入THS安装目录

$cd THS/bin

$./start.sh -v

Software version: TongHttpServer/6.0.0.2

Build at Mar  22 2023 09:51:23

自查步骤：

检查配置文件确认是否使用rewrite模块，执行以下命令在配置文件中搜索 rewrite 指令：

# 在配置文件中搜索 rewrite 指令

grep -rn 'rewrite' THS/conf

l 若搜索结果为空，则说明未使用 rewrite 模块功能，不受本安全风险影响，无需处理。后续如需启用 rewrite 功能，建议升级并使用官方修复版本。

l 若搜索结果中存在 rewrite 指令，需进行修复。

紧急规避：

避免在 rewrite 指令中使用未命名正则捕获变量（$1、$2 等），统一替换为命名捕获变量（如 $product_id，$user_id）。

以下配置使用了未命名捕获：

rewrite ^/api/v1/product/([0-9]+)/detail$ /product.php?id=$1 break;

建议修改为命名捕获方式：

rewrite ^/api/v1/product/(?[0-9]+)/detail$ /product.php?id=$product_id break;

升级建议：

为彻底规避 rewrite 模块相关安全风险，建议使用受影响版本 rewrite 功能的用户尽快升级至修复版本。升级包链接见：https://www.tongtech.com/dft/downloads/132.html

如需协助请联系我司售后提供升级包、安装咨询、远程技术支持或上门服务支持，售后联系电话：400-650-7088（转2号线），售后联系邮箱：support@tongtech.com。注：请说明贵单位名称、联系方式、产品使用版本。

由衷感谢每一位用户的信赖和支持，诚挚的欢迎广大用户与伙伴的监督与反馈！东方通将以持续保障用户系统安全为宗旨，进一步加大系统安全的自查与检测，一如既往地为用户提供优质的产品与服务。