漏洞说明
近日,思迈特软件收到Apache Log4j2组件存在远程代码执行漏洞的信息,但未公布漏洞攻击方式,该漏洞的影响范围涉及软件 Smartbi V8~V10版本。、
根据目前所能了解的到信息,尚未知漏洞攻击方式,我们采取通过中升级到Log4j到最新版本2.18.0的方案。
紧急解决方案
Smartbi.war 说明如下:
| smartbi.war 针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 受影响版本 | 紧急解决方式 | 替换war包的路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V7及以下版本不受影响 | |||||
| V856 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V87 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V95 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.17.0.jar log4j-core-2.17.0.jar log4j-slf4j-impl-2.17.0.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| 有部分版本在smartbi\WEB-INF\lib目录下会有以下文件 | log4j-api-2.17.1.jar log4j-core-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |||
| V97 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-1.2.13.jar | 不受影响 | |||
| V10.0 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi\WEB-INF\extensions\smartbix.ext\META-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar log4j-slf4j-impl-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| smartbi.war\WEB-INF\lib | log4j-api-2.8.2.jar log4j-core-2.8.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar | |||
| V10.5 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi.war\WEB-INF\lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| V10.5.8 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi.war\WEB-INF\lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
数据挖掘:
| 数据挖掘针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 版本 | 紧急解决方式 | 替换路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V9以上才有数据挖掘 | |||||
| V95 | 可手工替换war包中的log4j相关jar包到最新版本 | smartbi-mining-engine-bin/engine/lib | log4j-api-2.17.1.jar log4j-core-2.17.1.jar log4j-slf4j-impl-2.17.1.jar log4j-1.2-api-2.17.1.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar log4j-1.2-api-2.18.0.jar | |
| V97 | |||||
| v10序列 | |||||
跨库联合数据源:
| 跨库联合数据源针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | ||||
| 紧急解决方式 | 替换路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V9以上才有跨库联合数据源,并且只有一个版本,若项目使用的跨库联合数据源比较旧,建议先更新到最新的跨库联合数据源后再做更换jar包 | ||||
| 可手工替换war包中的log4j相关jar包到最新版本 | SmartbiUnionServer\plugin\accumulo | log4j-core-2.17.2.jar | log4j-core-2.18.0.jar | |
| SmartbiUnionServer\plugin\SmartbiPrestoImpalaJdbc | log4j-core-2.17.2.jar | log4j-core-2.18.0.jar | ||
多维引擎:
| 多维引擎针对7月30号Apache Log4j2组件存在远程代码执行漏洞解决方案 | |||||
| 安装方式 | 紧急解决方式 | 替换路径 | 替换前的jar包名称 | 替换后的jar包名称 | 相关jar包下载链接 |
| V10以下不受影响 | |||||
| mondrian的(exe安装包内的) | 可手工替换war包中的log4j相关jar包到最新版本 | Smartbi\Tomcat\webapps\mondrian\WEB-INF\lib | log4j-api-2.17.2.jar log4j-core-2.17.2.jar log4j-slf4j-impl-2.17.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | |
| olap引擎 | SmartbiOLAPServer.jar\BOOT-INF\classes\smartbiolap.war\WEB-INF\lib | log4j-api-2.17.2.jar log4j-core-2.17.2.jar log4j-slf4j-impl-2.17.2.jar | log4j-api-2.18.0.jar log4j-core-2.18.0.jar log4j-slf4j-impl-2.18.0.jar | ||
