...
根据目前所能了解的到信息,尚未知漏洞攻击方式,我们采取通过中升级到Log4j到最新版本2.18.0的方案。
紧急解决方案
注意:因log4j2高版本的jar包对JDK是有要求的,所有项目更换对应的jar包前需要先更新JDK版本到1.8,不然无法启动。另外在替换jar包前,大家务必先做好相关备份。
Smartbi.war 说明如下:
| smartbi.war 针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 受影响版本 | 紧急解决方式 | 替换war包的路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V7及以下版本不受影响 | |||||
| V856 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V87 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V95 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.17.0.jar log4j-core-2.17.0.jar log4j-slf4j-impl-2.17.0.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| 有部分版本在smartbi\WEB-INF\lib目录下会有以下文件 | log4j-api-2.17.1.jar log4j-core-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |||
| V97 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V10.0 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |||
| V10.5 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi.war\WEB-INF\lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| V10.5.8 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi.war\WEB-INF\lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
数据挖掘:
| 数据挖掘针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 版本 | 紧急解决方式 | 替换路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V9以上才有数据挖掘 | |||||
| V95 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi-mining-engine-bin/engine/lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar log4j-1.2-api-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar log4j-1.2-api-2.18.0.jar | |
| V97 | |||||
| v10序列 | |||||
...
