尊敬的用户:
您好!近日收到Apache Log4j2组件存在远程代码执行漏洞的信息,帆软公司高度重视,内部紧急排查。现将排查过程和结论对外公布。
1、排查Fine Report、Fine BI 产品使用的Log4j版本,1.2.17不在漏洞影响范围列表。
2、构造测试环境使用Log4j 2.14.1版本复现漏洞攻击过程,成功实现攻击。引用切换至1.2.17版本,攻击无法实现,无该漏洞。
3、排查产品插件,部分涉及,已修复,参照附件声明升级至最新版本即可。
4、帆软每个版本都追求更安全,建议升级至最新版本。
综上:帆软软件的FineReport、FineBI 产品不存在 Apache log4j2的远程代码执行漏洞。但需检查是否安装了部分问题插件。
具体详细说明请戳链接:点我查看
如您在使用产品过程中有任何问题,可通过帆软官方技术支持渠道获取受影响版本的更新文件以及其它相关帮助
——QQ:800049425 电话:400-811-8890转2
感谢各位用户对帆软软件的支持与信赖,我们将不断学习,持续提升产品安全,打造更安全可靠的产品。 |