99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

關(guān)于Smartbi 商業(yè)智能 I BI 軟件命令執(zhí)行漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-11-21

?

漏洞描述

近日，監(jiān)測到Smartbi 商業(yè)智能 BI 軟件命令執(zhí)行漏洞的 0day 相關(guān)漏洞情報(bào)，攻擊者可以通過利用路由匹配結(jié)合 JNDI 注入進(jìn)行任意命令執(zhí)行，導(dǎo)致系統(tǒng)被攻擊與控制。Smartbi 商業(yè)智能 BI 軟件,滿足 BI 產(chǎn)品的發(fā)展階段。思邁特軟件整合了各行業(yè)的數(shù)據(jù)分析和決策支持的功能需求,滿足最終用戶在企業(yè)級報(bào)表、數(shù)據(jù)可視化分析、自助探索分析、數(shù)據(jù)挖掘建模、AI 智能分析等場景。Smartbi 商業(yè)智能 BI 軟件未對 JDBC 的 db2 做過濾，構(gòu)建惡意 db2 數(shù)據(jù)庫，觸發(fā) JNDI注入進(jìn)行命令執(zhí)行。

對此，鑒于此次漏洞影響范圍廣泛、影響程度較高，因此建議相關(guān)用戶盡快排查，并更新最新版本。

漏洞危害

攻擊者可以通過利用路由匹配結(jié)合 JNDI 注入進(jìn)行任意命令執(zhí)行，導(dǎo)致系統(tǒng)被攻擊與控制。

漏洞等級

高危
受影響版本

Smartbi 商業(yè)智能 BI 軟件<10.5.8 (最新版)

修復(fù)方案

緩解措施：

配置 WAF 規(guī)則，對數(shù)據(jù)包中有 clientRerouteServerListJNDIName 關(guān)鍵字?jǐn)?shù)據(jù)包過濾。

官方修復(fù)方案：

聯(lián)系廠商獲取 V10.5.8 的補(bǔ)丁包，進(jìn)行升級即可。