一、漏洞说明
思迈特软件收到项目反馈,核查存在“某种特定情况下破解用户密码”的漏洞问题。此次安全漏洞主要是涉及Smartbi产品自身的安全漏洞,因涉及安全隐患,具体的安全漏洞攻击细节不方便对外暴露。
二、影响范围
Smartbi V6-V11版本
三、处理方案
方式1:
如果客户想要调用getPassword接口,更新安全补丁包即可,更新补丁包后实现的是限制用户调用相关接口,只能获取用户自身的密码。
方式2:
如用户无需使用getPassword接口,可设置ALLOW_CALL_GET_PASSWORD_METHOD=false,禁止调用接口getPassword。不同版本之间存在差异,具体如何配置,详见下文。
Smartbi V6~V95版本
Smartbi V6~V95版本无ALLOW_CALL_GET_PASSWORD_METHOD 配置项,需要更新安全补丁后才能配置。
- 其中V6-V8版本中无系统选项-高级设置,因此需要对知识库执行SQL来配置。(备注:修改需要重启服务器)
SQL |
- Smartbi V95及以上版本可在系统选项-高级设置直接设置,如下图
Properties |
四、补充说明
ALLOW_CALL_GET_PASSWORD_METHOD设置为false时,Web链接中的传递登录信息功能时,是不能获取到用户密码的。
在V6版本中,效果如下:
在V7-V8版本中,效果是会话超时:
V9及以上版本,,效果是提示没有权限,需要前往系统选项高级设置中启用接口:
建议:
①增加密码复杂度,降低被破解的风险。
②已遭到攻击的客户,请尽快修改密码。