历史版本12 :2022-06-29移动端紧急重要公告 返回文档
编辑时间:
内容长度:图片数:目录数:
修改原因:
1. 问题背景编辑
经帆软公司内部安全组日常排查,于6月29日晚发现 FineReport、FineBI产品内置插件「HTML5移动端展现」、以及「微信管理」、「钉钉管理」、 「飞书管理」、「welink管理」、「云之家」插件。存在安全性问题,根据当前排查结果漏洞情况属于高危。
受影响产品 | 大版本 | 受影响主JAR时间 |
---|---|---|
FineReport | 10.0 | 2020年11.25 及以后版本 |
11.0 | 所有 | |
FineBI | 5.1系列 | 2020年11.25 及以后版本 |
2. 解决方案编辑
2.1 方案一:更新插件
2.2.1 HTML5移动端展现
方案仅适用于「HTML5移动端展现」插件。
插件版本号在 V10.4.90 之前不受影响,保持原样。不支持升级,因为设计器 jar 包版本过老,升级后无法适配插件版本。
V10.4.90 及以后,在「插件管理」中,升级插件到最新版本即可。如下图所示:
内网客户可以直接下载下面的升级包后,点击「从本地更新」上传插件升级包更新。详情参见文档:服务器插件管理
插件名称 | FR11.0更新插件 | FR10.0更新插件 | 不用更新 |
---|---|---|---|
HTML5移动端展现 | V10.4.90 之前 |
升级插件后,需要刷新一下界面生效。
2.2.2 其他插件
其他插件的更新和卸载安装步骤,详情可参见文档:服务器插件管理
FR11.0 版本插件解决方案及插件获取:
不同版本解决方案 | 微信管理插件 | 钉钉管理插件 | 飞书管理插件 | WeLink管理插件 |
---|---|---|---|---|
插件商城更新最新插件 版本要求: jar 包版本 2022-01-12 及以后 插件版本 >=11.0.54 | ||||
卸载并安装插件 版本要求: jar 包版本2021-11-02 到2021-12-15 插件版本[ 11.0.37, 11.0.54 ) |
不同版本解决方案 | 微信管理插件 | 钉钉管理插件 |
---|---|---|
主JAR 版本在2020-11-25 之前,无该安全问题,无需处理 | - | - |
主JAR版本在 2020-11-25~至今,商城直接更新最新的插件 |
2.2 方案二:禁用插件
通知并附操作的说明文件:帆软软件紧急安全通知(6.29文).pdf
在「管理系统>插件管理」中找到插件,并「禁用」。操作步骤如下图所示:
完成后刷新界面,效果如下图所示:
3. 帆软修复说明编辑
目前帆软安全应急响应中心已在加速修复,预计于6月30日完成更新,届时将第一时间通知各位用户插件更新结果。
4. 常见FAQ编辑
常见问题 | 官方回答 |
---|---|
FR8.0\9.0版本是否受影响? | 不受影响 |
插件禁用后的影响? | 移动端等功能场景不可用 。7月护网攻方会直接利用该漏洞,之前漏洞尚未扩散。 |
是否需要更新主jar? | 不需要。可以做下产品加固配置点击查看 指导文档; 但即将发布的版本也解决了另一个安全漏洞,影响小于当前的。具备条件的可以升级主jar |
如果没有用移动端的客户,也是会受到影响么? | 有插件就会有影响 |