热门标签
热门文章
- 1项目中,如何写 readme.md 文件 | 写项目总结
- 2论文阅读《Fine-Grained Face Swapping via Regional GAN Inversion》
- 3Python自动化测试系列[v1.0.0][html-testRunner测试报告]_pip install html-testrunner==1.0.3
- 4【Git-Clone】Git Clone 命令直接使用用户名:密码_使用账号密码clone项目
- 5Android 组件化工程结构分析以及项目方案的实施_安卓工程分析
- 6uni-app心得体会_uniapp心得
- 7雨云:不一样的服务器体验
- 8Linux发送邮件(Mail)_阿里云服务器 linux 发送邮件
- 9视频智能识别技术安全监管方案保障露营慢生活
- 10Spring Boot Serverless 实战系列“架构篇” 首发 | 光速入门函数计算
当前位置: article > 正文
JeecgBoot3.0 漏洞升级 — 快速文档_jeecgboot3.0之前的高危bug
作者:小丑西瓜9 | 2024-04-26 02:33:29
赞
踩
jeecgboot3.0之前的高危bug
近几年来,黑客攻击行为呈现出日益复杂和隐蔽的趋势,对个人和组织的安全造成了严重威胁。黑客们不断寻找新的漏洞和安全漏洞,利用各种手段进行网络攻击,包括恶意软件、网络钓鱼、勒索软件等。因此,我们每个人都需要关注漏洞风险,加强网络安全意识,及时更新系统补丁。目前有网友反馈受到攻击勒索,虽然我们的商业客户并没受到影响,但也请尽快升级补丁,避免未知的风险!
黑客攻击现在很频繁,请一定重视!!!
一、升级freemarker补丁,解决执行任意命令问题
升级freemarker补丁,解决Freemarker模板注入导致远程命令执行, 远程攻击者可利用该漏洞调用在系统上执行任意命令
无论你的jeecg是那个版本都可以采用此方案:重写freemarker的类src/main/java/freemarker/template/Configuration.java方式,在实例化Configuration方法里面默认加入下面代码
//freemarker模板注入问题 禁止解析ObjectConstructor,Execute和freemarker.template.utility.JythonRuntime。
this.setNewBuiltinClassResolver(TemplateClassResolver.SAFER_RESOLVER);
- 1
- 2
参考代码:针对freemaker2.3.31的重写Configuration初始化,具体大家请按照自己的版本去重写覆盖。
二、升级积木报表到最新版1.6.5,解决无权限可访问问题
1、升级依赖版本号
修改pom.xml中积木报表的依赖版本号
<!-- 积木报表--> <dependency> <groupId>org.jeecgframework.jimureport</groupId> <artifactId>jimureport-spring-boot-starter</artifactId> <version>1.6.5</version> <exclusions> <exclusion> <artifactId>autopoi-web</artifactId> <groupId>org.jeecgframework</groupId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.jeecgframework.jimureport</groupId> <artifactId>jimureport-nosql-starter</artifactId> <version>1.6.0</version> </dependency>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
2、修改yml配置
jeecg:
jmreport:
mode: dev
#多租户模式,默认值为空(created:按照创建人隔离、tenant:按照租户隔离) (v1.6.2+ 新增)
saasMode:
# 平台上线安全配置(v1.6.2+ 新增)
firewall:
# 数据源安全 (开启后,不允许使用平台数据源、SQL解析加签并不允许查询数据库)
dataSourceSafe: false
# 低代码开发模式(dev:开发模式,prod:发布模式—关闭在线报表设计功能,分配角色admin、lowdeveloper可放开限制)
lowCodeMode: dev
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
3、修改org.jeecg.config.jimureport.JimuReportTokenService加入实现新方法
@Override
public String[] getRoles(String token) {
String username = JwtUtil.getUsername(token);
Set roles = sysBaseApi.getUserRoleSet(username);
if(CollectionUtils.isEmpty(roles)){
return null;
}
return (String[]) roles.toArray(new String[roles.size()]);
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
4.执行升级sql
这里做的是从1.4.2升级到1.6.5,有升级sql如下,其他版本请查看积木报表升级日志
ALTER TABLE jimu_report_data_source ADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '多租户标识' AFTER connect_times; ALTER TABLE jimu_dict ADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '多租户标识' AFTER type; ALTER TABLE jimu_report ADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL COMMENT '多租户标识' AFTER js_str; ALTER TABLE jimu_report_data_source ADD COLUMN type varchar(10) NULL COMMENT '类型(report:报表;drag:仪表盘)'; UPDATE jimu_report_data_source SET type= 'report'; CREATE TABLE jimu_report_share ( id varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL COMMENT '主键', report_id varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '在线excel设计器id', preview_url varchar(1000) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '预览地址', preview_lock varchar(4) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '密码锁', last_update_time datetime NULL DEFAULT NULL COMMENT '最后更新时间', term_of_validity varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '有效期(0:永久有效,1:1天,2:7天)', status varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '是否过期(0未过期,1已过期)', preview_lock_status varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '密码锁状态(0不存在密码锁,1存在密码锁)', PRIMARY KEY (id) USING BTREE ) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_general_ci COMMENT = '积木报表预览权限表' ROW_FORMAT = DYNAMIC;
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
三、其他官方漏洞通知专题
【漏洞通知】JeecgBoot 修复 Freemarker 模板注入漏洞
- https://blog.csdn.net/zhangdaiscott/article/details/132304391
积木报表 JimuReport v1.6.2-GA5 版本发布 — 高危 SQL 漏洞安全加固版本
- https://my.oschina.net/jeecg/blog/10106055
【漏洞通知】JeecgBoot 修复SQL注入风险
- https://my.oschina.net/jeecg/blog/10107636
【漏洞通知】Apache Shiro又爆认证绕过漏洞CVE-2023-34478
- https://blog.csdn.net/zhangdaiscott/article/details/131914652
JeecgBoot升级Nacos至2.2.3版本解决raft漏洞问题
- https://blog.csdn.net/zhangdaiscott/article/details/131730495
【高危安全通告】fastjson≤1.2.80反序列化漏洞
- https://blog.csdn.net/zhangdaiscott/article/details/124960217
四、友情提示
黑客攻击,一般是通过控制服务器,搞坏数据库来进行勒索,所以定时备份数据库非常重要。
这里附上一个备份数据库的脚本,供大家参考
#!/bin/bash #数据库的定时备份 #定义备份的路径 BACKUP=/var/lib/mysql DATETIME=`date +%Y_%m_%d_%H%M%S` #echo "$DATETIME" echo "=====start backup to $BACKUP/$DATETIME/$DATETIME.tar.gz======" #主机 HOST=localhost DB_USER=root DB_PWD=123456 #要备份的数据库名称 DATABASE=jeecg-boot #创建备份的路径,如果路径不存在则创建 [ ! -d "$BACKUP/$DATETIME" ] && mkdir -p "$BACKUP/$DATETIME" #执行mysql的备份数据库指令 mysqldump -u${DB_USER} -p${DB_PWD} --host=$HOST $DATABASE | gzip > $BACKUP/$DATETIME/$DATETIME.sql.gz #打包备份文件 cd $BACKUP tar -zcvf $DATETIME.tar.gz $DATETIME #删除临时目录 rm -rf $BACKUP/$DATETIME #删除10天前的备份文件 #在$backup目录下按照时间找10天前的名称为*.tar.gz的文件,-exec表示执行找到的文件 find $BACKUP -mtime +10 -name "*.tar.gz" -exec rm rf {} \; echo "===========backup success======"
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/488463
推荐阅读
相关标签
