注:不同Smartbi部署环境,漏洞处理步骤可能有一定差异,如对下述更新说明有任何疑问请及时联系官方支持咨询!
邮箱:support@smartbi.com.cn
微信公众号:Smartbi技术服务号
电话:4008783819
一、漏洞说明
思迈特软件收到安全机构漏洞信息反馈,核查发现存在“HSQL数据源连接处存在任意文件读写漏洞”的漏洞问题。此次安全漏洞主要是涉及Smartbi产品自身的安全漏洞,因涉及安全隐患,具体的安全漏洞攻击细节不方便对外暴露。
二、影响范围
Smartbi V7~V10版本,不管是否有使用HSQL数据源都受影响。
三、解决方案
当前的安全漏洞需要同时更新对应的驱动包以及安全补丁包,具体如下:
第一步:根据所使用的对应版本更新HSQL驱动包
- SmartbiV7~V9版本,请从此处下载_JDBC_hsqldb.jar的漏洞修复驱动包:V7~V9版本.rar
- SmartbiV10版本,请从此处下载_JDBC_hsqldb.jar的漏洞修复驱动包:V10版本.rar
请下载对应版本的文件后用压缩工具解压,获取到对应版本的jar包后再按照下述步骤进行替换。
替换步骤
注:替换前先备份旧的War包、知识库等。
1. 根据当前使用的版本选择下载对应的驱动文件
2. 做好相应备份后,停止smartbi服务, 将下载好的 _JDBC_hsqldb.jar 替换 smartbi.war/WEB-INF/lib 或smartbi/WEB-INF/lib 中的 _JDBC_hsqldb.jar(可通过压缩软件打开对应的war包进行文件替换)
3.替换好后请根据不同的应用服务器的部署方式,重新部署war包启动即可,如项目有对应的更新维护文档,请按照项目的更新维护文档对Smartbi重新部署。
第二步:更新安全补丁包
该漏洞已在2023-05-30中的安全补丁包中修复,替换步骤一中的jar包后,仍需升级产品安全补丁包处理此漏洞问题,安全补丁更新操作详情请见:安全补丁
安全补丁下载入口:https://www.smartbi.com.cn/patchinfo
验证补丁包更新成功:
可以在系统监控-安全补丁界面看到更新记录表示更新成功:
四、如何验证漏洞是否已解决
如下图所示,选择任意一个数据源连接,填写校验语句:SCRIPT a,点击测试连接,此时会弹出提示“校验语句仅支持select语句”,则说明漏洞已修复:
五、其他说明
上述补丁包已内置到20230529号之后的常规war包:V72、V856、V87、V95、V97、V10.5.8、V10.5.15,也可更新至最新的版本处理,更新版本后可不再需要执行上述操作。
如若采用更新war包方式的,可按照以下步骤验证漏洞是否已解决
如下图所示,选择任意一个数据源连接,填写校验语句:SCRIPT a,点击测试连接,此时会弹出提示“校验语句仅支持select语句”,则说明漏洞已修复: