1. 概述编辑
本文汇总了:护网行动期间,与帆软相关的所有安全漏洞的申明。
1.1 统一解决方案
更新升级至产品2022-08-01及之后的版本(以JAR包日期为准)。请下载JAR包,并参考相关文档,升级工程。
产品 | JAR包 | 升级文档 |
---|---|---|
FineReport11.X | 点击下载JAR包 | 小版本升级指南 2.1.2 节 |
FineReport10.X | 点击下载JAR包 | 小版本升级指南 3.1.2 节 |
FineBI5.1.19及以上 | 点击下载JAR包 | 5.1.5后的版本升级指南 |
FineBI5.1.19以下 | 点击下载JAR包 | 5.1.5后的版本升级指南 |
1.2 无法升级的临时解决方案
1)参考文档:2022-06-29移动端紧急重要公告
2)完成1后,联系帆软技术支持获取规避方案。
2. 申明编辑
漏洞 | 官方申明 | 简要说明 |
---|---|---|
触发V8远程代码执行漏洞 | 2022-08-01及之后版本修复该漏洞。 请更新升级至帆软JAR包时间2022-08-01以后版本。 更多解决方案请参考:触发V8远程代码执行漏洞申明 | |
反序列化漏洞-channel接口 | 关于帆软《反序列化漏洞》声明.pdf | 2022-07-29 channel接口反序列化漏洞,历史版本真实存在。 请联系帆软技术支持或帆软对接人,升级至最新版本。 技术支持联系方式:QQ「800049425」、电话「400-811-8890」。 |
反序列化漏洞 | - | 部分老版本帆软应用被上传恶意插件,插件代码引入该漏洞。 请删除恶意插件「Timo测试插件」(插件包:plugin-com.fr.plugin.function.timo)并更新升级帆软版本。 |
未授权命令执行漏洞 | 历史版本存在未授权命令执行漏洞。 请联系帆软技术支持或帆软对接人,升级至最新版本。 技术支持联系方式:QQ「800049425」、电话「400-811-8890」。 | |
任意文件读取漏洞 | 该漏洞确认是误报。 该类请求只能读取受限的静态资源文件(无敏感信息,本身就可公开),不存在「任意文件读取漏洞」。 | |
log4j 2漏洞 | FineReport 10.0版本、FineBI 5.1.19以下版本不受影响 FineReport 11.0版本、FineBI 5.1.19及以上版本,请联系技术支持更新升级至2022-08-01及以后版本。 技术支持联系方式:QQ「800049425」、电话「400-811-8890」。 | |
fastjson反序列化漏洞 | 帆软在2022-06-13插件版本中已升级至没有漏洞的版本。 具体解决方案请参见:2022-06-29移动端紧急重要公告 |