本页面罗列自2023-12-21起,修复处理的安全漏洞说明,最新日期的安全补丁会涵盖历史已发布的漏洞问题,如果之前未更新的,直接获取最新补丁进行更新即可。
1.版本
| 更新日期 | 更新说明 |
|---|---|
| 2024-04-18 | |
| 2024-06-27 | 强化系统安全性,防范特定条件下的非授权访问 |
| 2024-08-08 | 强化系统安全性,防范特定条件下的非授权访问2 |
2.漏洞说明
2.1修复某种特定情况下越权漏洞
| 漏洞描述 | 补丁说明 | 修复的漏洞 | 涉及版本 | 解决方案 |
|---|---|---|---|---|
修复某种特定情况下越权漏洞 (Patch.20240418 @2024-04-18) | 此补丁修复了近期的部分漏洞。 | 修复某种特定情况下越权漏洞 | V6及以上版本 | 方案1:更新2024-04-18发布的补丁, 补丁下载地址:https://www.smartbi.com.cn/patchinfo 补丁更新参考文档:安全补丁 方案2:更新2024-04-18后的war包:请联系官方支持渠道进行获取 |
2.2修复远程命令执行漏洞
| 漏洞描述 | 漏洞修复说明 | 涉及版本 | 解决方案 |
|---|---|---|---|
远程命令执行漏洞 | 修复了Mondrian组件的漏洞 | 通过2023年11月21日之前的EXE安装包部署的V10版本 | 1)如果不需要使用Mondrian,建议直接删掉此目录 |
请从阿里云上下载Mondrian更新文件,下载链接:http://smartbi.oss-cn-beijing.aliyuncs.com/%E5%B9%B3%E5%8F%B0%E6%BC%8F%E6%B4%9E%E4%BF%AE%E5%A4%8D%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6/mondrian%E6%9B%B4%E6%96%B0%E6%96%87%E4%BB%B6231107.zip
(mondrian文件夹在Smartbi/Tomcat/webapps目录下面)
更新时,注意以下2个配置文件不可覆盖
①mondrian\WEB-INF\datasources.xml
②mondrian\WEB-INF\queries\FoodMartCN.xml
2.3强化系统安全性,防范特定条件下的非授权访问
| 漏洞描述 | 补丁说明 | 修复的漏洞 | 涉及版本 | 解决方案 |
|---|---|---|---|---|
特定条件下的非授权访问 (Patch.20240627 @2024-06-27) | 此补丁为强化系统安全性,防范特定条件下的非授权访问。 | 修复了部分特定情况下的非授权访问漏洞。 | V95及以上版本 | 方案1、更新2024-06-27发布的补丁 补丁下载地址:https://www.smartbi.com.cn/patchinfo 补丁更新参考文档:安全补丁 方案2、更新2024-06-27后的war包:请联系官方支持渠道进行获取 |
补充说明:使用旧版proxy的用户,打补丁后需要取消勾选自动打印日志。
2.4强化系统安全性,防范特定条件下的非授权访问2
| 漏洞描述 | 补丁说明 | 修复的漏洞 | 涉及版本 | 不涉及版本 | 解决方案 |
|---|---|---|---|---|---|
特定条件下的非授权访问 (Patch.20240808 @2024-08-08) | 此补丁为强化系统安全性,防范特定条件下的非授权访问。 | 修复了部分特定情况下的非授权访问漏洞。 | V10.1及以上版本 | V3-V9版本不存在本次发布的漏洞 | 方案1、更新2024-08-08发布的补丁 补丁下载地址:https://www.smartbi.com.cn/patchinfo 补丁更新参考文档:安全补丁 方案2、更新2024年8月8号之后的war包:请联系官方支持渠道进行获取 |
补丁文件MD5码:4A4D31C7FAE3AE610941017368F71BAA
