反馈已提交

网络繁忙

护网行动相关帆软安全漏洞声明

  • 文档创建者:Carly
  • 编辑次数:23次
  • 最近更新:Carly 于 2022-08-11
  • 1. 概述

    本文汇总了:护网行动期间,与帆软相关的所有安全漏洞的申明。

    2. 统一解决方案

    1)升级产品,更新升级至产品2022-08-08及之后的版本(以JAR包日期为准)。请下载JAR包,并参考相关文档,升级工程。

    产品JAR包升级文档

    FineReport11.X

    点击下载JAR包小版本升级指南 2.2.2 节
    FineReport10.X点击下载JAR包小版本升级指南 3.2.1 节
    FineBI5.1.19及以上联系技术支持获取
    5.1.5后的版本升级指南
    FineBI5.1.19以下联系技术支持获取
    5.1.5后的版本升级指南

    2)删除恶意插件「Timo测试插件」(插件包:plugin-com.fr.plugin.function.timo)

    注:无法升级的用户,请联系帆软技术支持获取规避方案。

    3. 申明

    漏洞
    官方申明简要说明
    后台远程代码执行漏洞

    此为管理员用户正常的系统业务逻辑,并非漏洞。

    关于网传帆软《后台远程代码执行漏洞》声明.pdf


    网传帆软FineReport11.0版本可以修改默认驱动管理配置,上传恶意代码。

    该操作需要具备系统管理员权限,安装插件并修改配置,属于正常系统业务逻辑。

    仅FineReport 11.0版本、FineBI 5.1.19及以上版本支持该功能。

    请增加管理员账号密码复杂度,删除「fine_conf_entity可视化」插件。

    触发V8远程代码执行漏洞

    关于帆软《触发V8远程代码执行漏洞》声明.pdf

    2022-08-01及之后版本修复该漏洞。

    请更新升级至帆软JAR包时间2022-08-01以后版本。

    更多解决方案请参考:触发V8远程代码执行漏洞申明

    反序列化漏洞-channel接口关于帆软《反序列化漏洞》声明.pdf

    2022-07-29 channel接口反序列化漏洞,历史版本真实存在。

    请联系帆软技术支持或帆软对接人,升级至最新版本。

    技术支持联系方式:QQ「800049425」、电话「400-811-8890」。

    反序列化漏洞

    -

    部分老版本帆软应用被上传恶意插件,插件代码引入该漏洞。

    请删除恶意插件「Timo测试插件」(插件包:plugin-com.fr.plugin.function.timo)并更新升级帆软版本。

    未授权命令执行漏洞

    关于帆软《未授权命令执行漏洞》声明.pdf

    历史版本存在未授权命令执行漏洞。

    请联系帆软技术支持或帆软对接人,升级至最新版本。

    技术支持联系方式:QQ「800049425」、电话「400-811-8890」。

    任意文件读取漏洞

    该漏洞确认是误报。

    关于前端文件请求的安全说明.pdf

    该类请求只能读取受限的静态资源文件(无敏感信息,本身就可公开),不存在「任意文件读取漏洞」。

    log4j 2漏洞

    帆软关于《log4j2漏洞》声明.pdf

    FineReport 10.0版本、FineBI 5.1.19以下版本不受影响

    FineReport 11.0版本、FineBI 5.1.19及以上版本,请联系技术支持更新升级至2022-08-01及以后版本。

    技术支持联系方式:QQ「800049425」、电话「400-811-8890」。

    fastjson反序列化漏洞

    帆软关于《Fastjson反序列化漏洞》声明.pdf

    帆软在2022-06-13插件版本中已升级至没有漏洞的版本。

    具体解决方案请参见:2022-06-29移动端紧急重要公告


    附件列表


    主题: 部署集成
    • 有帮助
    • 没帮助
    • 只是浏览

    售前咨询电话

    400-811-8890转1

    在线技术支持

    在线QQ:800049425

    热线电话:400-811-8890转2

    总裁办24H投诉

    热线电话:173-1278-1526

    文 档反 馈

    鼠标选中内容,快速反馈问题

    鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。

    不再提示

    10s后关闭