JeecgBoot3.0 漏洞升級 — 快速文檔

近幾年來,黑客攻擊行為呈現出日益復雜和隱蔽的趨勢,對個人和組織的安全造成了嚴重威脅。黑客們不斷尋找新的漏洞和安全漏洞,利用各種手段進行網絡攻擊,包括惡意軟件、網絡釣魚、勒索軟件等。因此,我們每個人都需要關注漏洞風險,加強網絡安全意識,及時更新系統補丁。目前有網友反饋受到攻擊勒索,雖然我們的商業客戶并沒受到影響,但也請盡快升級補丁,避免未知的風險!
黑客攻擊現在很頻繁,請一定重視!!!

一、升級freemarker補丁,解決執行任意命令問題

升級freemarker補丁,解決Freemarker模板注入導致遠程命令執行, 遠程攻擊者可利用該漏洞調用在系統上執行任意命令
無論你的jeecg是那個版本都可以采用此方案:重寫freemarker的類src/main/java/freemarker/template/Configuration.java方式,在實例化Configuration方法里面默認加入下面代碼

//freemarker模板注入問題 禁止解析ObjectConstructor,Execute和freemarker.template.utility.JythonRuntime。
this.setNewBuiltinClassResolver(TemplateClassResolver.SAFER_RESOLVER);

參考代碼:針對freemaker2.3.31的重寫Configuration初始化,具體大家請按照自己的版本去重寫覆蓋。

二、升級積木報表到最新版1.6.5,解決無權限可訪問問題

1、升級依賴版本號

修改pom.xml中積木報表的依賴版本號

<!-- 積木報表-->
<dependency><groupId>org.jeecgframework.jimureport</groupId><artifactId>jimureport-spring-boot-starter</artifactId><version>1.6.5</version><exclusions><exclusion><artifactId>autopoi-web</artifactId><groupId>org.jeecgframework</groupId></exclusion></exclusions>
</dependency>
<dependency><groupId>org.jeecgframework.jimureport</groupId><artifactId>jimureport-nosql-starter</artifactId><version>1.6.0</version>
</dependency>

2、修改yml配置

jeecg:jmreport:mode: dev#多租戶模式,默認值為空(created:按照創建人隔離、tenant:按照租戶隔離) (v1.6.2+ 新增)saasMode: # 平臺上線安全配置(v1.6.2+ 新增)firewall:# 數據源安全 (開啟后,不允許使用平臺數據源、SQL解析加簽并不允許查詢數據庫)dataSourceSafe: false# 低代碼開發模式(dev:開發模式,prod:發布模式—關閉在線報表設計功能,分配角色admin、lowdeveloper可放開限制)lowCodeMode: dev

3、修改org.jeecg.config.jimureport.JimuReportTokenService加入實現新方法

    @Overridepublic String[] getRoles(String token) {String username = JwtUtil.getUsername(token);Set roles = sysBaseApi.getUserRoleSet(username);if(CollectionUtils.isEmpty(roles)){return null;}return (String[]) roles.toArray(new String[roles.size()]);}

4.執行升級sql
這里做的是從1.4.2升級到1.6.5,有升級sql如下,其他版本請查看積木報表升級日志

ALTER TABLE  jimu_report_data_source
ADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '多租戶標識' AFTER connect_times;ALTER TABLE jimu_dict
ADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '多租戶標識' AFTER type;ALTER TABLE jimu_report
ADD COLUMN tenant_id varchar(10) CHARACTER SET utf8 COLLATE utf8_general_ci NULL COMMENT '多租戶標識' AFTER js_str;ALTER TABLE jimu_report_data_source
ADD COLUMN type  varchar(10) NULL COMMENT '類型(report:報表;drag:儀表盤)';
UPDATE jimu_report_data_source SET type= 'report';CREATE TABLE jimu_report_share  (id varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL COMMENT '主鍵',report_id varchar(32) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '在線excel設計器id',preview_url varchar(1000) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '預覽地址',preview_lock varchar(4) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '密碼鎖',last_update_time datetime NULL DEFAULT NULL COMMENT '最后更新時間',term_of_validity varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '有效期(0:永久有效,1:1天,2:7天)',status varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '是否過期(0未過期,1已過期)',preview_lock_status varchar(1) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NULL DEFAULT NULL COMMENT '密碼鎖狀態(0不存在密碼鎖,1存在密碼鎖)',PRIMARY KEY (id) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_general_ci COMMENT = '積木報表預覽權限表' ROW_FORMAT = DYNAMIC;

三、其他官方漏洞通知專題

【漏洞通知】JeecgBoot 修復 Freemarker 模板注入漏洞

  • https://blog.csdn.net/zhangdaiscott/article/details/132304391

積木報表 JimuReport v1.6.2-GA5 版本發布 — 高危 SQL 漏洞安全加固版本

  • https://my.oschina.net/jeecg/blog/10106055

【漏洞通知】JeecgBoot 修復SQL注入風險

  • https://my.oschina.net/jeecg/blog/10107636

【漏洞通知】Apache Shiro又爆認證繞過漏洞CVE-2023-34478

  • https://blog.csdn.net/zhangdaiscott/article/details/131914652

JeecgBoot升級Nacos至2.2.3版本解決raft漏洞問題

  • https://blog.csdn.net/zhangdaiscott/article/details/131730495

【高危安全通告】fastjson≤1.2.80反序列化漏洞

  • https://blog.csdn.net/zhangdaiscott/article/details/124960217

四、友情提示

黑客攻擊,一般是通過控制服務器,搞壞數據庫來進行勒索,所以定時備份數據庫非常重要。
這里附上一個備份數據庫的腳本,供大家參考

#!/bin/bash
#數據庫的定時備份
#定義備份的路徑
BACKUP=/var/lib/mysql
DATETIME=`date +%Y_%m_%d_%H%M%S`
#echo "$DATETIME"
echo "=====start backup to $BACKUP/$DATETIME/$DATETIME.tar.gz======"
#主機
HOST=localhost
DB_USER=root
DB_PWD=123456
#要備份的數據庫名稱
DATABASE=jeecg-boot
#創建備份的路徑,如果路徑不存在則創建
[ ! -d "$BACKUP/$DATETIME" ] && mkdir -p "$BACKUP/$DATETIME"
#執行mysql的備份數據庫指令
mysqldump -u${DB_USER} -p${DB_PWD} --host=$HOST $DATABASE | gzip > $BACKUP/$DATETIME/$DATETIME.sql.gz
#打包備份文件
cd $BACKUP
tar -zcvf $DATETIME.tar.gz $DATETIME
#刪除臨時目錄
rm -rf $BACKUP/$DATETIME
#刪除10天前的備份文件
#在$backup目錄下按照時間找10天前的名稱為*.tar.gz的文件,-exec表示執行找到的文件
find $BACKUP -mtime +10 -name "*.tar.gz" -exec rm rf {} \;
echo "===========backup success======"

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/166897.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/166897.shtml
英文地址,請注明出處:http://en.pswp.cn/news/166897.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

Java 之 final 詳解

Java 之 final 詳解

目錄 一. 前言 二. final 的基礎使用 2.1. 修飾類 2.2. 修飾方法 2.2.1. private 方法是隱式的 final 2.2.2. final 方法可以被重載 2.3. 修飾參數 2.4. 修飾變量 2.4.1. static final 2.4.2. blank final 2.4.3. 所有 final 修飾的字段都是編譯期常量嗎&#xff1f…
閱讀更多...
數據結構:二叉查找樹,平衡二叉樹AVLTree,紅黑樹RBTree,平衡多路查找數B-Tree,B+Tree

數據結構:二叉查找樹,平衡二叉樹AVLTree,紅黑樹RBTree,平衡多路查找數B-Tree,B+Tree

二叉查找樹 二叉樹具有以下性質&#xff1a;左子樹的鍵值小于根的鍵值&#xff0c;右子樹的鍵值大于根的鍵值。 對該二叉樹的節點進行查找發現深度為1的節點的查找次數為1&#xff0c;深度為2的查找次數為2&#xff0c;深度為n的節點的查找次數為n&#xff0c;因此其平均查找次…
閱讀更多...
2023年亞太數學建模C題數據分享+詳細思路

2023年亞太數學建模C題數據分享+詳細思路

在報名截止的前一天&#xff0c;我嘗試進行了報名。到那時&#xff0c;已有11,000個隊伍注冊參賽。在我的了解中&#xff0c;在數模比賽中除了國賽美賽外&#xff0c;幾乎沒有其他競賽的參賽隊伍數量能與此相媲美。即便不考慮賽題的難度和認可度&#xff0c;亞太地區的這場競賽…
閱讀更多...
JavaScript實現動態背景顏色

JavaScript實現動態背景顏色

JavaScript實現動態背景顏色 前言實現過程HTML實現過程CSS實現過程JS實現過程全部源碼 前言 本文主要講解JavaScript如何實現動態背景顏色&#xff0c;可以根據顏色選擇器選擇的顏色而實時更新到背景中&#xff0c;如下圖所示。 當我們在顏色選擇器中改變顏色時&#xff0c;會…
閱讀更多...
代碼掃描,漏洞檢測

代碼掃描,漏洞檢測

1) SQL注入是一種數據庫攻擊手段。攻擊者通過向應用程序提交惡意代碼來改變原SQL語句的含義&#xff0c;進而執行任意SQL命令&#xff0c;達到入侵數據庫乃至操作系統的目的。在Mybatis Mapper Xml中&#xff0c;#變量名稱創建參數化查詢SQL語句,不會導致SQL注入。而$變量名稱…
閱讀更多...
SPSS信度分析

SPSS信度分析

前言&#xff1a; 本專欄參考教材為《SPSS22.0從入門到精通》&#xff0c;由于軟件版本原因&#xff0c;部分內容有所改變&#xff0c;為適應軟件版本的變化&#xff0c;特此創作此專欄便于大家學習。本專欄使用軟件為&#xff1a;SPSS25.0 本專欄所有的數據文件請點擊此鏈接下…
閱讀更多...
內網滲透之Linux權限提升大法

內網滲透之Linux權限提升大法

文章目錄 內網滲透|Linux權限提升大法0x01 前言0x02 工具介紹1.traitor2.LinEnum3.linux-exploit-suggester.sh4.Linux Exploit Suggester 25.beroot 0X02提權手法1.環境變量提權2.利用suid提權3.定時任務提權3.1定時任務文件覆蓋提權3.2定時任務tar命令通配符注入提權 4.sudo提…
閱讀更多...
【matlab程序】matlab給風速添加圖例大小

【matlab程序】matlab給風速添加圖例大小

【matlab程序】matlab給風速添加圖例大小 clear;clc;close all; % load 加載風速數據。 load(matlab.mat) % 加載顏色包信息 gray load(D:\matlab_work\函數名為colormore的顏色索引表制作\R_color_txt\R_color_single\gray89.txt); brown load(D:\matlab_work\函數名為color…
閱讀更多...
_STORAGE_WRITE_ERROR_ thinkphp報錯問題原因

_STORAGE_WRITE_ERROR_ thinkphp報錯問題原因

整個報錯內容如下 Uncaught exception Think\Exception with message _STORAGE_WRITE_ERROR_:./Runtime/Cache/Home/1338db9dec777aab181d4e74d1bdf964.php in C:\inetpub\wwwroot\ThinkPHP\Common\functions.php:101 Stack trace: #0 C:\inetpub\wwwroot\ThinkPHP\Library\…
閱讀更多...
1. 應用編程概念

1. 應用編程概念

1. 應用編程概念 1 系統調用概念1 應用編程和裸機編程、驅動編程的區別 1 系統調用概念 系統調用其實是 Linux 內核提供給應用層的應用編程接口&#xff0c;是 Linux 應用層進入內核的入口。用戶通過系統調用來使用系統提供的各種服務&#xff0c;實現了與內核的交互。 1 應用…
閱讀更多...
JavaFx 設置窗口邊框圓角

JavaFx 設置窗口邊框圓角

UI界面要求窗口邊框有一定弧度&#xff0c;因為之前沒有做過&#xff0c;網上看了很多文章&#xff0c;都用到了css語句 "-fx-background-radius: ; 我在xml布局文件根節點使用無效&#xff0c;在Scene組件設置無效&#xff0c;gpt等ai問了一圈代碼也是無效&#xff0c;…
閱讀更多...
【JavaEE】認識多線程

【JavaEE】認識多線程

作者主頁&#xff1a;paper jie_博客 本文作者&#xff1a;大家好&#xff0c;我是paper jie&#xff0c;感謝你閱讀本文&#xff0c;歡迎一建三連哦。 本文錄入于《vaEE》專欄&#xff0c;本專欄是針對于大學生&#xff0c;編程小白精心打造的。筆者用重金(時間和精力)打造&am…
閱讀更多...
React + BraftEditor 實現富文本編輯

React + BraftEditor 實現富文本編輯

Braft Editor 是一個基于 React 和 Draft-js 開發的富文本編輯器&#xff0c;提供了豐富的基礎功能&#xff0c;如基本文本格式化、列表、鏈接、圖片上傳、視頻插入等&#xff0c;并且還支持擴展。 首先&#xff0c;確保你已經在項目中安裝了 Braft Editor 和它的依賴項&#x…
閱讀更多...
NPU、CPU、GPU算力及算力計算方式

NPU、CPU、GPU算力及算力計算方式

NVIDIA在9月20日發布的NVIDIA DRIVE Thor 新一代集中式車載計算平臺&#xff0c;可在單個安全、可靠的系統上運行高級駕駛員輔助應用和車載信息娛樂應用。提供 2000 萬億次浮點運算性能&#xff08;2000 萬億次8位浮點運算&#xff09;。NVIDIA當代產品是Orin&#xff0c;算力是…
閱讀更多...
Java基礎(問題+答案)——第4期

Java基礎(問題+答案)——第4期

其他的幾期見這個專欄 Java中的多態性&#xff08;Polymorphism&#xff09;&#xff1a; 多態性是指一個對象可以用來引用多個類型的特性。在Java中&#xff0c;多態性通過方法的重寫和接口實現來實現。 Java中的final關鍵字的用途&#xff1a; final可以用于變量、方法和類。…
閱讀更多...
堪比數據恢復大師軟件推薦,恢復數據很簡單!

堪比數據恢復大師軟件推薦,恢復數據很簡單!

“作為一個經常丟失數據的電腦用戶來說&#xff0c;我覺得我非常需要一些簡單有效的數據恢復方法。大家有什么比較靠譜的軟件推薦嗎&#xff1f;非常感謝&#xff01;” 在數字化時代&#xff0c;數據的存儲是比較重要的。很多用戶都會選擇將重要的文件保存在電腦上。如果數據丟…
閱讀更多...
第二證券:北證50指數一枝獨秀 短劇游戲概念股持續活躍

第二證券:北證50指數一枝獨秀 短劇游戲概念股持續活躍

周三&#xff0c;滬深兩市三大指數顫動調整&#xff0c;北證50指數“鶴立雞群”&#xff0c;大漲超8%。到收盤&#xff0c;上證綜指報3043.61點&#xff0c;跌0.79%&#xff1b;深證成指報9855.66點&#xff0c;跌1.41%&#xff1b;創業板指報1950.01點&#xff0c;跌1.73%。滬…
閱讀更多...
ITSS項目概述及評估流程!

ITSS項目概述及評估流程!

ITSS項目概述 ITSS (Information Technology Service Standards&#xff0c;信息技術服務標準&#xff0c;簡稱ITSS)是一套成體系和綜合配套的信息技術服務標準庫&#xff0c;全面規范了IT服務產品及其組成要素&#xff0c;用于指導實施標準化和可信賴的IT服務&#xff0c;是套…
閱讀更多...
CSV用EXCEL打開后為科學計數法(后幾位丟失)解決方法

CSV用EXCEL打開后為科學計數法(后幾位丟失)解決方法

當在Excel中打開含有長數字&#xff08;如訂單號&#xff09;的CSV文件時&#xff0c;Excel可能會默認將這些長數字格式化為科學計數法。 而當您嘗試將它們轉換為文本格式時&#xff0c;如果數字非常長&#xff0c;Excel可能無法正確處理其精度&#xff0c;導致數字的后幾位變…
閱讀更多...
uni-app,nvue中text標簽文本超出寬度不換行問題解決

uni-app,nvue中text標簽文本超出寬度不換行問題解決

復現&#xff1a;思路&#xff1a; 將text標簽換為rich-text&#xff0c;并給rich-text增加換行的樣式class類名解決&#xff1a;
閱讀更多...
最新文章

Copyright @ 2022~2023