历史版本5 :触发V8远程代码执行漏洞 返回文档
编辑时间:
内容长度:图片数:目录数:
修改原因:
1. 影响版本编辑
针对 2022-08-01 网上反馈的帆软报表触发V8远程代码执行漏洞,受影响的帆软产品版本如下:
| 产品 | 受影响版本 |
|---|---|
| FineReport | 10.0系列,11.0系列 |
| FineBI | 5.X系列 |
2. 解决方案一:升级工程编辑
请下载JAR包,并参考相关文档,升级工程。
| 产品 | JAR包 | 升级文档 |
|---|---|---|
FineReport11.X | 点击下载JAR包 | 小版本升级指南 2.2.2 节 |
| FineReport10.X | 点击下载JAR包 | 小版本升级指南 3.2.1 节 |
| FineBI5.1.19及以上 | 点击下载JAR包 | 5.1.5后的版本升级指南 |
| FineBI5.1.19以下 | 点击下载JAR包 | 5.1.5后的版本升级指南 |
3. 解决方案二:不升级工程编辑
3.1 操作步骤
1)使用压缩软件打开webapps/webroot/WEB-INF/lib目录下的fine-third-11.0/ fine-third-10.0,删除包中的四个文件(libj2v8开头的文件)。
2)将finedb数据库中,FINE_CONF_ENTITY表中,id为ScriptEngineSelectorConfig.nashornAllowed的值改为false
注:此配置需要帆软系统升级为2021.8.5及以后的版本才能生效。
3)配置完成后,重启FineReport/FineBI工程。
4. 操作影响编辑
部分复杂图表的预览性能会有下降。
为了提升图表体验,部分复杂图表在服务器端使用V8进行提前绘制,删除后将由浏览器执行,性能体验下降。