历史版本11 :2022-06-29移动端紧急重要公告 返回文档
编辑时间:
内容长度:图片数:目录数:
修改原因:
1. 问题背景编辑
经帆软公司内部安全组日常排查,于6月29日晚发现 FineReport、FineBI产品内置插件「HTML5移动端展现」、以及「微信管理」、「钉钉管理」、 「飞书管理」、「welink管理」、「云之家」插件。存在安全性问题,根据当前排查结果漏洞情况属于高危。
2. 解决方案编辑
2.1 方案一:更新插件
方案仅适用于「HTML5移动端展现」插件。
插件版本号在 V10.4.90 之前不受影响,保持原样。不可升级,主jar版本过老升级无法适配。
V10.4.90 及以后,在「插件管理」中,升级插件到最新版本即可。如下图所示:
内网客户可以直接下载下面的升级包后,点击「从本地更新」上传插件升级包更新。详情参见文档:服务器插件管理
FR11.0下载插件:com.fr.plugin.mobile.web.v11-11.0.67.1.zip
FR10.0下载插件:com.fr.plugin.mobile.web-10.5.16.1.zip
升级插件后,需要刷新一下界面生效。
2.2 方案二:禁用插件
通知并附操作的说明文件:帆软软件紧急安全通知(6.29文).pdf
在「管理系统>插件管理」中找到插件,并「禁用」。操作步骤如下图所示:
完成后刷新界面,效果如下图所示:
3. 帆软修复说明编辑
目前帆软安全应急响应中心已在加速修复,预计于6月30日完成更新,届时将第一时间通知各位用户插件更新结果。
4. 常见FAQ编辑
常见问题 | 官方回答 |
---|---|
FR8.0\9.0版本是否受影响? | 不受影响 |
插件禁用后的影响? | 移动端等功能场景不可用 。7月护网攻方会直接利用该漏洞,之前漏洞尚未扩散。 |
是否需要更新主jar? | 不需要。可以做下产品加固配置点击查看 指导文档; 但即将发布的版本也解决了另一个安全漏洞,影响小于当前的。具备条件的可以升级主jar |
如果没有用移动端的客户,也是会受到影响么? | 有插件就会有影响 |