1. 影响版本
针对 2022-08-01 网上反馈的帆软报表触发V8远程代码执行漏洞,受影响的帆软产品版本如下:
| 产品 | 受影响版本 |
|---|---|
| FineReport | 10.0系列,11.0系列 |
| FineBI | 5.X系列 |
2. 解决方案一:升级工程
请下载JAR包,并参考相关文档,升级工程。
| 产品 | JAR包 | 升级文档 |
|---|---|---|
FineReport11.X | 点击下载JAR包 | 内网升级/外网升级指定版本 |
| FineReport10.X | 点击下载JAR包 | 小版本升级指南 2.2.2节 |
| FineBI5.1.19及以上 | 点击下载JAR包 | 5.1.18-5.1.19及之后版本升级指南 |
| FineBI5.1.19以下 | 点击下载JAR包 | 5.1.5-5.1.18版本升级指南 |
3. 解决方案二:不升级工程
3.1 操作步骤
1)使用压缩软件打开webapps/webroot/WEB-INF/lib目录下的fine-third-11.0/ fine-third-10.0,删除包中的四个文件(libj2v8开头的文件)。
2)将finedb数据库中,FINE_CONF_ENTITY表中,id为ScriptEngineSelectorConfig.nashornAllowed的值改为false
注:此配置需要帆软系统升级为2021.8.5及以后的版本才能生效。
3)配置完成后,重启FineReport/FineBI工程。
4. 操作影响
部分复杂图表的预览性能会有下降。
为了提升图表体验,部分复杂图表在服务器端使用V8进行提前绘制,删除后将由浏览器执行,性能体验下降。
上一篇:安全漏洞声明
