...
一、漏洞说明
思迈特软件收到安全机构漏洞信息反馈,核查发现存在“数据源连接MYSQL JDBC文件读取漏洞”的漏洞问题。此次安全漏洞主要是涉及MySQL自身的安全漏洞,因涉及安全隐患,具体的安全漏洞攻击细节不方便对外暴露。
二、影响范围
Smartbi V7~V10版本
三、处理方案
1、功能说明
ByteCodeIntensifier 通过添加扩展包ByteCodeIntensifier.ext 为解决mysql JDBC任意文件读取漏洞。该ext在20200316号之后的以下分支自带:V72、V856、V95、V97、V10解决mysql JDBC任意文件读取漏洞。
该ext在20230315号之后的以下分支war包自带:V72、V856、V95、V97、V10.5.8、V10.5
...
2. 使用说明
(1).操作步骤
扩展包的部署方法有以下两种:
(1)通过扩展包热加载功能上传扩展包;
(2)config配置页面 上传扩展包;
注意:V10以下(不包含V10)版本不支持热加载功能上传扩展包,详细部署扩展包方式可见:V10以下版本扩展包部署方式
具体说明如下:
...
.12,V87则在20230321之后的war包自带该ext。
2、使用说明
1)、扩展包下载
注意 |
---|
|
也可在系统监控-》扩展包加载列表中查找是否已加载该扩展包,如已存在则可不用再添加,如下图所示,该扩展包已存在,可不用再添加:
2)、扩展包使用方法
扩展包的部署方法有以下两种:
方法1-热加载:V10及以上通过扩展包热加载功能上传扩展包,不需要重启tomcat;
方法2-通用:所有版本通过config配置页面 上传扩展包,需要重启tomcat;
注意:V10以下(不包含V10)版本不支持热加载功能上传扩展包
具体说明如下:
方法1-热加载(V10及以上)
(1)打开系统监控
(2)选择扩展包页签
(3)扩展包页面点击上传扩展包按钮,选择所需扩展包进行上传。
更多扩展包热加载详情可参考文档系统监控-扩展包
方法2-通用
(1)查看扩展包配置路径
首先登录到 Smartbi 的配置管理页面,地址为 http://
...
...
port/smartbi/vision/config.jsp
(2)导航到“扩展包 > 扩展包存放路径”段,查看当前设置的扩展包路径。
(3)如果这里已经设置了路径,请直接跳转到下一步骤;否则,请在应用服务器上创建一个新目录,比如 D:\Smartbi\
...
ext ,然后将“扩展包 > 扩展包存放路径”设置为刚刚创建的新目录。接着点击右下角的“保存”按钮。
Smartbi安装好后默认的扩展包存放路径是 ./ext,这在Windows上表示 smarbi\Tomcat\bin\ext。
(4)将扩展包(.ext 文件)上传到第3步中找到的、或者新创建的路径下。
...
如果可以直接登陆到应用服务器,也可以手动将扩展包拷到上面配置的目录,可以支持多个,譬如下图把BrowseVersionPatch.
...
ext、WebSecurityExt.
...
ext两个扩展包存放在D:\ Smartbi\
...
ext目录中。
说明:
一般情况下建议将扩展打包为*.ext文件,但系统也支持直接将开发的扩展包src\web目录直接拷贝到扩展包的加载目录,这样该扩展包也能被加载。如上图所示,sample1和sample2分别打包为 ext 文件了,而sample3则直接拷贝的src\web目录,这三个扩展包都会被正确加载。
(5)重启 Smartbi 应用服务器。
(6)清除浏览器缓存,重新访问 Smartbi。
注意:在IE删除浏览历史记录对话框上,第一项“保留收藏夹网站数据”不要勾上;下面的“Internet 临时文件”、“Cookie”两项,最好全部勾选。然后点击“删除”按钮。
(7)至此,一般都应该可以正常看到扩展包中增加的功能了。如果还是不行,请确认对应的扩展包是否已经正确加载了。访问“用户名-》系统监控-》扩展包”界面,确认在列表中是否有我们在第3步中所上传的扩展包。
扩展包列表
...
如下图,可以看到对应的扩展包已加载成功: