1. 概述编辑
本文汇总了:护网行动期间,与帆软相关的所有安全漏洞的申明。
2. 统一解决方案编辑
1)FineReport10.0及以上版本、FineBI5.1及以上版本,请升级产品。
更新升级至产品2022-08-08及之后的版本(以JAR包日期为准)。请下载JAR包,并参考相关文档,升级工程。
注:无法升级的用户,请联系帆软技术支持获取规避方案。
| 产品 | JAR包 | 升级文档 |
|---|---|---|
FineReport11.X | 点击下载JAR包 | 小版本升级指南 2.2.2 节 |
| FineReport10.X | 点击下载JAR包 | 小版本升级指南 3.2.1 节 |
| FineBI5.1.19及以上 | 点击下载JAR包 | 5.1.5后的版本升级指南 |
| FineBI5.1.19以下 | 点击下载JAR包 | 5.1.5后的版本升级指南 |
2)删除恶意插件「Timo测试插件」(插件包:plugin-com.fr.plugin.function.timo)
3)FineReport8.0、9.0版本,请联系技术支持进行大版本升级。
3. 申明编辑
| 漏洞 | 官方申明 | 简要说明 |
|---|---|---|
| 后台远程代码执行漏洞 | 此为管理员用户正常的系统业务逻辑,并非漏洞。 | 网传帆软FineReport11.0版本可以修改默认驱动管理配置,上传恶意代码。 该操作需要具备系统管理员权限,安装插件并修改配置,属于正常系统业务逻辑。 仅FineReport 11.0版本、FineBI 5.1.19及以上版本支持该功能。 请增加管理员账号密码复杂度,删除「fine_conf_entity可视化」插件。 |
| 触发V8远程代码执行漏洞 | 2022-08-01及之后版本修复该漏洞。 请更新升级至帆软JAR包时间2022-08-01以后版本。 更多解决方案请参考:触发V8远程代码执行漏洞申明 | |
| 反序列化漏洞-channel接口 | 关于帆软《反序列化漏洞》声明.pdf | 2022-07-29 channel接口反序列化漏洞,历史版本真实存在。 请联系帆软技术支持或帆软对接人,升级至最新版本。 技术支持联系方式:QQ「800049425」、电话「400-811-8890」。 |
| 反序列化漏洞 | - | 部分老版本帆软应用被上传恶意插件,插件代码引入该漏洞。 请删除恶意插件「Timo测试插件」(插件包:plugin-com.fr.plugin.function.timo)并更新升级帆软版本。 |
| 未授权命令执行漏洞 | 历史版本存在未授权命令执行漏洞。 请联系帆软技术支持或帆软对接人,升级至最新版本。 技术支持联系方式:QQ「800049425」、电话「400-811-8890」。 | |
| 任意文件读取漏洞 | 该漏洞确认是误报。 | 该类请求只能读取受限的静态资源文件(无敏感信息,本身就可公开),不存在「任意文件读取漏洞」。 |
| log4j 2漏洞 | FineReport 10.0版本、FineBI 5.1.19以下版本不受影响 FineReport 11.0版本、FineBI 5.1.19及以上版本,请联系技术支持更新升级至2022-08-01及以后版本。 技术支持联系方式:QQ「800049425」、电话「400-811-8890」。 | |
| fastjson反序列化漏洞 | 帆软在2022-06-13插件版本中已升级至没有漏洞的版本。 具体解决方案请参见:2022-06-29移动端紧急重要公告 |