...
一、漏洞说明
思迈特软件收到安全机构漏洞信息反馈,核查发现存在“数据源连接MYSQL JDBC文件读取漏洞”的漏洞问题。此次安全漏洞主要是涉及MySQL自身的安全漏洞,因涉及安全隐患,具体的安全漏洞攻击细节不方便对外暴露。
二、影响范围
Smartbi V7~V10版本
三、处理方案
1、功能说明
ByteCodeIntensifier 通过添加扩展包ByteCodeIntensifier.ext 为解决mysql JDBC任意文件读取漏洞。解决mysql JDBC任意文件读取漏洞。
该ext在20230315号之后的以下分支war包自带:V72、V856、V95、V97、V10.5.8、V10.5.12,V87在20230321之后的war包自带该ext。12,V87则在20230321之后的war包自带该ext。
...
2、使用说明
...
1)、扩展包下载
...
注意:请部署扩展包前先查看当前环境使用的JDK版本,根据使用的JDK版本下载对应版本的扩展包!
查看当前使用JDK版本的入口为:系统监控-》概述:
1、扩展包下载
①使用JDK1.8及以上版本请从此处下载漏洞修复扩展包:ByteCodeIntensifier.ext
②使用JDK1.7及以下版本请从根据Smartbi的版本此处下载对应的漏洞修复扩展包:
V72:ByteCodeIntensifierV72.ext
V8~V9版本:ByteCodeIntensifierV8-V9.ext
...
注意 |
---|
|
也可在系统监控-》扩展包加载列表中查找是否已加载该扩展包,如已存在则可不用再添加,如下图所示,该扩展包已存在,可不用再添加:
...
2)、扩展包使用方法
扩展包的部署方法有以下两种:
(1)V10及以上通过扩展包热加载功能上传扩展包,不需要重启tomcat;
(2)所有版本通过config配置页面 方法1-热加载:V10及以上通过扩展包热加载功能上传扩展包,不需要重启tomcat;
方法2-通用:所有版本通过config配置页面 上传扩展包,需要重启tomcat;
注意:V10以下(不包含V10)版本注意:V10以下(不包含V10)版本不支持热加载功能上传扩展包
具体说明如下:
方法1-热加载(V10及以上)
(1)打开系统监控
(2)选择扩展包页签
(3)扩展包页面点击上传扩展包按钮,选择所需扩展包进行上传。
...
更多扩展包热加载详情可参考文档系统监控-扩展包
方法2-通用
(1)查看扩展包配置路径
首先登录到 Smartbi 的配置管理页面,地址为 http://localhostip:18080port/smartbi/vision/config.jsp
...