一、漏洞说明
思迈特软件收到安全机构漏洞信息反馈,核查发现存在“数据源连接MYSQL JDBC文件读取漏洞”的漏洞问题。此次安全漏洞主要是涉及MySQL自身的安全漏洞,因涉及安全隐患,具体的安全漏洞攻击细节不方便对外暴露。
二、影响范围
Smartbi V7~V10版本
三、处理方案
1、功能说明
通过添加扩展包ByteCodeIntensifier.ext 解决mysql JDBC任意文件读取漏洞。
该ext在20230315号之后的以下分支war包自带:V72、V856、V95、V97、V10.5.8、V10.5.12,V87则在20230321之后的war包自带该ext。
2、使用说明
1)、扩展包下载
SmartbiV7版本,请从此处下载漏洞修复扩展包:ByteCodeIntensifierV72.ext
SmartbiV8版本,请从此处下载漏洞修复扩展包:ByteCodeIntensifierV8.ext
SmartbiV9版本,请从此处下载漏洞修复扩展包:ByteCodeIntensifierV9.ext
SmartbiV10及以上版本版本,请从此处下载漏洞修复扩展包:ByteCodeIntensifierV10.ext
也可在系统监控-》扩展包加载列表中查找是否已加载该扩展包,如已存在则可不用再添加,如下图所示,该扩展包已存在,可不用再添加:
2)、扩展包使用方法
扩展包的部署方法有以下两种:
方法1-热加载:V10及以上通过扩展包热加载功能上传扩展包,不需要重启tomcat;
方法2-通用:所有版本通过config配置页面 上传扩展包,需要重启tomcat;
注意:V10以下(不包含V10)版本不支持热加载功能上传扩展包
具体说明如下:
方法1-热加载(V10及以上)
(1)打开系统监控
(2)选择扩展包页签
(3)扩展包页面点击上传扩展包按钮,选择所需扩展包进行上传。
更多扩展包热加载详情可参考文档系统监控-扩展包
方法2-通用
(1)查看扩展包配置路径
首先登录到 Smartbi 的配置管理页面,地址为 http://ip:port/smartbi/vision/config.jsp
(2)导航到“扩展包 > 扩展包存放路径”段,查看当前设置的扩展包路径。
(3)如果这里已经设置了路径,请直接跳转到下一步骤;否则,请在应用服务器上创建一个新目录,比如 D:\Smartbi\ext ,然后将“扩展包 > 扩展包存放路径”设置为刚刚创建的新目录。接着点击右下角的“保存”按钮。
Smartbi安装好后默认的扩展包存放路径是 ./ext,这在Windows上表示 smarbi\Tomcat\bin\ext。
(4)将扩展包(.ext 文件)上传到第3步中找到的、或者新创建的路径下。
如果可以直接登陆到应用服务器,也可以手动将扩展包拷到上面配置的目录,可以支持多个,譬如下图把BrowseVersionPatch.ext、WebSecurityExt.ext两个扩展包存放在D:\ Smartbi\ext目录中。
(5)重启 Smartbi 应用服务器。
(6)清除浏览器缓存,重新访问 Smartbi。
(7)至此,一般都应该可以正常看到扩展包中增加的功能了。如果还是不行,请确认对应的扩展包是否已经正确加载了。访问“用户名-》系统监控-》扩展包”界面,确认在列表中是否有我们在第3步中所上传的扩展包。
如下图,可以看到对应的扩展包已加载成功:
