点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
一个安全漏洞报告确定了一个漏洞,据说该漏洞已通过jquery 3.4.1进行了补救。 或以上。
看起来BO 4.2 SP08(提供最新版本)只有jquery 3.3.1。
知道可以单独更新tomcat并看到sap注意如何执行此操作。
我有几个问题
1)jQuery是否与tomcat一起提供?
看着SAP笔记2793144推断确实如此。
2)jquery 3.4.1或更高版本附带哪些版本的tomcat,BO 4.2 SP05是否支持此版本的jquery
谢谢
Note 2793144不能推断有关tomcat的任何内容,它在jquery本身的代码中列出了一个修复程序,此注释所提供的产品(非BOE)中提供了该修复程序。
jquery不存在 与tomcat一起,它随BOE webapp一起提供,因此升级tomcat不会解决可能的问题。
每注 https://launchpad.support.sap.com/#/notes/2763257 带有jquery的已知漏洞已在4.2 Sp7中修复。
如果发现的漏洞具有CVE,并且该漏洞是 不同于该说明中的内容-您应该引发事件以便对其进行调查
列出的CVE为CVE-2019-11358
我可以找到的唯一汁液注释是
2793144-消除了可能的jquery漏洞
这看起来像是提出一种手动解决方案,其中提到了停止原型污染。
在CVE-2019-11358上进行快速Google搜索时,除了提到原型污染之外,还提到了很多其他东西,例如跨站点脚本编写
https://www.securityfocus.com/bid/108023/references
您是否知道按照sap note 2793144中的建议可以消除CVE-2019-11358的所有漏洞?
感谢更新。
是否计划了带有jquery 3.4.1的BO 4.2 Service Pack-安全报告特别提到了jquery 3.41将解决此问题?
试图查看下面的汁液注释和提及。
我可以查看其他具有管理员权限的汁液注释。
由于某些原因,此注释是否对客户不可用?
您无权访问SAP Note/KBA 2763257。
您尝试访问的SAP Note/KBA的目标受众与您的个人资料不匹配。
1)jQuery是否与tomcat一起提供?
否,但这并不相关。 jQuery包含在BOE Web应用程序中,因此,即使Tomcat包含了jQuery,旧版本仍将保留在BOE中。 您已经在BI4.2 SP08中找到了3.3.1,这在这里适用。
链接到的文章暗示,您可以在jQuery中进行更改 BOE下的源文件。 那可能是最好的解决方案,但我会联系技术支持进行确认。
感谢更新。
我们有BO 4.2 SP05,看起来根据树液注释可以将手动更改应用于
3.4.0以下的任何版本,例如BO 4.2 SP05中的1.8.3
在BO 4.2中,3.4.1似乎没有可用的Service Pack。
已按照sap note 2793144中的建议将手动更改应用于我们的测试系统-删除了可能的jquery漏洞,但这给出了http status 500错误
HTTP状态500 –内部服务器错误
类型异常报告
尝试调用从局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet()时出现的消息
说明服务器遇到意外状况,阻止其满足请求。
例外
注意在服务器日志中可以找到根本原因的完整堆栈跟踪。
Apache Tomcat/8.5.42
在服务器日志中查找
应用了这种方法后,任何人都看到了类似的东西。
2020年3月2日,上午11:46:02 org.apache.catalina.core.StandardWrapperValve在路径为[/BOE]的上下文中为Servlet [equinoxbridgeservlet]调用SEVERE:Servlet.service()引发异常java.lang.NullPointerException :尝试在com上调用从com.businessobjects.servletbridge.customconfig.Config。(Config.java:37)上的局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet()时 com.businessobjects.pinger.TimeoutManagerFilter.getSessionState(TimeoutManagerFilter.java:216:com.businessobjects.pinger.TimeoutManagerFilter.doFilter(TimeoutManagerFilter.java:82)上的.businessobjects.servletbridge.customconfig.ConfigReader.getConfig(ConfigReader.java:370) )在org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)在org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)在org.apache.catalina.core.StandardWrapperValve。 在org.a上调用(StandardWrapperValve.java:199) 位于org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:493 :)的pache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96),位于org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve。 java:137)位于org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:81)位于org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:660)位于org.apache.catalina.core 位于org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:343)的org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:798)的.StandardEngineValve.invoke(StandardEngineValve.java:87) org.apache.tomcat.util.net.NioEndpoint $ SocketProcessor上的org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)在org.apache.coyote.AbstractProtocol $ ConnectionHandler.process(AbstractProtocol.java:808)在org.apache.tomcat.util.net.NioEndpoint $ SocketProcessor。 org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.j)上的doRun(NioEndpoint.java:1498) ava:49)at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)at org.apache.tomcat.util.threads处的java.util.concurrent.ThreadPoolExecutor $ Worker.run(ThreadPoolExecutor.java:617) .TaskThread $ WrappingRunnable.run(TaskThread.java:61)at java.lang.Thread.run(Thread.java:808)
一周热门 更多>