安全提示：东方通 TongWeb 应用服务器的 ejbserver 接口存在反序列化风险，该风险非产品新发现漏洞，而是系统在使用过程中未落实安全加固操作所致。请尽快通过产品内置的安全能力完成加固配置，切实防范潜在攻击，保障业务稳定运行。

安全加固方法：

方式一：若应用没有用到 EJB 远程服务，也不升级 TongWeb，则可以设置如下参数:

-Dcom.tongweb.tongejb.server.httpd.ServerServlet.activated=false

该参数表示禁用 EJB 服务, TongWeb7.0/6.1 各个历史版本均有该参数。

针对大部分 web 应用，推荐方式一。

方式二：若应用使用了 EJB 远程服务，则注意配置如下：

EJB 黑名单-Dtongejb.serialization.class.blacklist 中不允许序列化类

EJB 白名单-Dtongejb.serialization.class.whitelist 允许的序列化类

EJB 客户端 IP 白名单 -Dremote.clientIp.whitelist

同时打补丁《TongWeb应用服务器关闭web应用端口EJB服务补丁》，补丁链接见：https://www.tongtech.com/dft/download.html

使用上述涉及版本的用户请尽快进行安全加固，如需协助请联系我司售后提供补丁包、安装咨询、远程技术支持或上门服务支持，售后联系电话：400-650-7088（转2号线），售后联系邮箱：support@tongtech.com。注：请说明贵单位名称、联系方式、产品使用版本。

由衷感谢每一位用户的信赖和支持，诚挚的欢迎广大用户与伙伴的监督与反馈！东方通将以持续保障用户系统安全为宗旨，进一步加大系统安全的自查与检测，一如既往地为用户提供优质的产品与服务。