1. 问题背景
经帆软公司内部安全组日常排查,于6月29日晚发现 FineReport、FineBI 产品内置插件「HTML5移动端展现」、以及「微信管理」、「钉钉管理」、 「飞书管理」、「welink管理」、「云之家」插件。存在安全性问题,根据当前排查结果漏洞情况属于高危。
受影响产品 | 大版本 | 受影响主 JAR 时间 |
---|---|---|
FineReport | 10.0 | 2020-11-25 至 2022-06-22 |
11.0 | 至 2022-06-15 | |
FineBI | 5.1系列 | 2020-11-25 至 2022-06-22 |
2. 解决方案
2.1 方案一:更新插件
注:若 WebSocket 连接失败,在插件商城安装或者删除插件时没有成功或者失败的提示。
建议在插件安装无反应的情况下,刷新浏览器,查看插件是否安装成功。
2.2.1 HTML5移动端展现
方案仅适用于「HTML5移动端展现」插件。
插件版本号在 V10.4.90 之前不受影响,保持原样。不支持升级,因为插件依赖主 JAR ,过早的版本无法兼容。
V10.4.90 及以后,在「插件管理」中,升级插件到最新版本即可。如下图所示:
内网客户可以直接下载下面的升级包后,点击「从本地更新」上传插件升级包更新。详情参见文档:服务器插件管理
插件名称 | FR11.0更新插件 | FR10.0更新插件 | 不用更新 |
---|---|---|---|
HTML5移动端展现 | V10.4.90 之前 |
升级插件后,需要刷新一下界面生效。
2.2.2 云之家插件
1)FR11.0 版本插件解决方案:在「插件管理」中,升级插件到最新版本即可。
2)FR10.0 版本插件解决方案及插件获取:
不同版本解决方案 | 云之家插件 |
---|---|
主 JAR 版本在 2021-05-25~至今,商城直接更新最新的插件 | - |
主 JAR 版本在 2020-11-25 至 2021-05-24 之间,需要卸载原有插件,并使用下载右侧的插件安装包重新进行安装。 | |
主 JAR 版本在 2020-11-25 以前,无该安全问题,无需批量处理插件。 注:若后续将主 JAR 版本更新,需采用主 JAR 更新后的日期版本所对应的插件处理方式。 | - |
2.2.3 其他插件
其他插件的更新和卸载安装步骤,详情可参见文档:服务器插件管理
1)FR11.0 版本& BI 5.1.19 及以后版本 插件解决方案及插件获取:
不同版本解决方案 | 微信管理插件 | 钉钉管理插件 | 飞书管理插件 | WeLink管理插件 |
---|---|---|---|---|
插件商城更新最新插件 版本要求: JAR 包版本 2022-01-12 及以后 插件版本 >=11.0.54 | com.fr.plugin.weixin.v11-11.0.67.zip | |||
卸载并安装插件 版本要求: JAR 包版本 2021-11-02 到 2021-12-15 插件版本:11.0.37 至 11.0.52 |
2)FR10.0 版本& BI 5.1.18.* 及之前版本 插件解决方案及插件获取:
不同版本解决方案 | 微信管理插件 | 钉钉管理插件 |
---|---|---|
主 JAR 版本在 2020-11-25 ~ 至今,商城直接更新最新的插件 | ||
主 JAR 版本在 2020-11-25 之前,无该安全问题,无需批量处理插件。 注:若后续将主 JAR 版本更新至 2020-11-25 之后需同步更新微信钉钉插件至最新商城版本。 | - | - |
2.2 方案二:禁用插件
通知并附操作的说明文件:帆软软件紧急安全通知(6.29文).pdf
在「管理系统>插件管理」中找到插件,并「禁用」。操作步骤如下图所示:
完成后刷新界面,效果如下图所示:
3. 帆软修复说明
当前所有问题插件已经修复完成。
4. 常见 FAQ
常见问题 | 官方回答 |
---|---|
Finereport 8.0 和 9.0 版本是否受影响? | 不受影响 |
插件禁用后的影响? | 移动端等功能场景不可用 。 |
是否需要更新主 JAR ? | 不需要。可以做下产品加固配置点击查看:指导文档; 但即将发布的版本也解决了另一个安全漏洞,影响小于当前的。具备条件的可以升级主 JAR 。详情请参考:SQlite 驱动紧急公告。 |
如果没有用移动端的客户,也是会受到影响么? | 有插件就会有影响 |