一、漏洞说明
近日,思迈特软件收到Apache Log4j2组件存在远程代码执行漏洞的信息,但未公布漏洞攻击方式,该漏洞的影响范围涉及软件 Smartbi V8~V10版本。
根据目前所能了解的到信息,尚未知漏洞攻击方式,我们采取通过中升级到Log4j到最新版本2.18.0的方案。
二、紧急解决方案
注意:因log4j2高版本的jar包对JDK是有要求的,所有项目更换对应的jar包前需要先更新JDK版本到1.8,不然无法启动。另外在替换jar包前,大家务必先做好相关备份。
2.1 Smartbi_V856分支(Special_SmartbiV85_6_20220714)说明
| smartbi.war 针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 受影响版本 | 紧急解决方式 | 替换war包的路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V7及以下版本不受影响 | |||||
Smartbi_V856分支(Special_SmartbiV85_6_20220714) | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\lib | log4j-1.2-api-2.17.2.jar log4j-api-2.17.2.jar log4j-core-2.17.2.jar | log4j-1.2-api-2.18.0.jar log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |
| smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.17.2.jar log4j-core-2.17.2.jar log4j-slf4j-impl-2.17.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |||
2.2 Smartbi.war 常规版本说明
| smartbi.war 针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 受影响版本 | 紧急解决方式 | 替换war包的路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V7及以下版本不受影响 | |||||
| V856 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V87 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V95 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib 部分版本 | log4j-api-2.17.0.jar log4j-core-2.17.0.jar log4j-slf4j-impl-2.17.0.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| 有部分版本在smartbi\WEB-INF\lib目录下会有以下文件 | log4j-api-2.17.1.jar log4j-core-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |||
| smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib 一般版本 | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |||
| V97 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |||
| V10.0 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |||
| V10.5 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi.war\WEB-INF\lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| V10.5.8 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi.war\WEB-INF\lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
2.3 数据挖掘说明
| 数据挖掘针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 版本 | 紧急解决方式 | 替换路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V9以上才有数据挖掘 | |||||
| V95 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi-mining-engine-bin/engine/lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar log4j-1.2-api-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar log4j-1.2-api-2.18.0.jar | |
| V97 | |||||
| v10序列 | |||||
2.4 跨库联合数据源说明
| 跨库联合数据源针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | ||||
| 紧急解决方式 | 替换路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V9以上才有跨库联合数据源,并且只有一个版本,若项目使用的跨库联合数据源比较旧,建议先更新到最新的跨库联合数据源后再做更换jar包 | ||||
| 可手工替换war包中的log4j相关jar包到最新版本 | SmartbiUnionServer\plugin\accumulo | log4j-core-2.17.2.jar | log4j-core-2.18.0.jar | |
| SmartbiUnionServer\plugin\SmartbiPrestoImpalaJdbc | log4j-core-2.17.2.jar | log4j-core-2.18.0.jar | ||
2.5 多维引擎
| 多维引擎针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 安装方式 | 紧急解决方式 | 替换路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V10以下不受影响 | |||||
| mondrian的(exe安装包内的) | 可手工替换war包中的log4j相关jar包到最新版本 | Smartbi\Tomcat\webapps\mondrian\WEB-INF\lib | log4j-api-2.17.2.jar log4j-core-2.17.2.jar log4j-slf4j-impl-2.17.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| olap引擎 | SmartbiOLAPServer.jar\BOOT-INF\classes\smartbiolap.war\WEB-INF\lib | log4j-api-2.17.2.jar log4j-core-2.17.2.jar log4j-slf4j-impl-2.17.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | ||
三、常见问题
1、如何更新smartbi.war包中的jar包。
回复:先对smartbi.war包进行备份。然后通过压缩工具打开smartbi.war,注意不需要解压。然后依据需要替换的文件的路径,找到对应的文件。比如说:smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib
找到smartbix.ext 扩展包后,将文件从war包拖拽到桌面上,再用压缩工具打开,进入到smartbix.ext\META-INF\lib 路径找到对应的jar包移除,并将最新的jar包拖拽到当前的文件夹中,如下图:
然后再将smartbix.ext 扩展包以同样方式添加到smartbi.war包中,记得替换前,先移除旧的smartbix.ext 扩展包后再添加,不能在一个war包存在多个smartbix.ext 扩展包。这样就完成了jar包的更新,再重新进行部署。
2、如果不是JDK1.8 ,常见报错如下图:
3、附上中间件对于JDK的要求,仅供参考:
