【2023年7月28日漏洞提醒】某种特定情况下破解用户密码漏洞处理方案 |
您所在的位置:网站首页 › 破解漏洞资金平台 › 【2023年7月28日漏洞提醒】某种特定情况下破解用户密码漏洞处理方案 |
一、漏洞说明 思迈特软件收到项目反馈,核查存在“某种特定情况下破解用户密码”的漏洞问题。此次安全漏洞主要是涉及Smartbi产品自身的安全漏洞,因涉及安全隐患,具体的安全漏洞攻击细节不方便对外暴露。 二、影响范围Smartbi V6-V11版本 三、处理方案方式1:如果客户想要调用getPassword接口,更新安全补丁包即可,更新补丁包后实现的是限制用户调用相关接口,只能获取用户自身的密码。 方式2:如用户无需使用getPassword接口,可设置ALLOW_CALL_GET_PASSWORD_METHOD=false,禁止调用接口getPassword。不同版本之间存在差异,具体如何配置,详见下文。 Smartbi V6~V95版本Smartbi V6~V95版本无ALLOW_CALL_GET_PASSWORD_METHOD 配置项,需要更新安全补丁后才能配置。 其中V6-V8版本中无系统选项-高级设置,因此需要对知识库执行SQL来配置。(备注:修改需要重启服务器)SQL# 新增配置项insert into t_systemconfig(c_key, c_value) values('ALLOW_CALL_GET_PASSWORD_METHOD','false')# 更新配置项update t_systemconfig set c_value='false' where c_key='ALLOW_CALL_GET_PASSWORD_METHOD' Smartbi V95及以上版本可在系统选项-高级设置直接设置,如下图PropertiesALLOW_CALL_GET_PASSWORD_METHOD=false 四、补充说明 ALLOW_CALL_GET_PASSWORD_METHOD设置为false时,Web链接中的传递登录信息功能时,是不能获取到用户密码的。 在V6版本中,效果如下: 在V7-V8版本中,效果是会话超时: V9及以上版本,,效果是提示没有权限,需要前往系统选项高级设置中启用接口:
建议: ①增加密码复杂度,降低被破解的风险。 ②已遭到攻击的客户,请尽快修改密码。
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |