BO 4.2 SP05-寻找tomcat jquery 3.4.1或以上版本

2020-08-23 00:14发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

一个安全漏洞报告确定了一个漏洞,据说该漏洞已通过jquery 3.4.1进行了补救。 或以上。

看起来BO 4.2 SP08(提供最新版本)只有jquery 3.3.1。

知道可以单独更新tomcat并看到sap注意如何执行此操作。

我有几个问题

1)jQuery是否与tomcat一起提供?

看着SAP笔记2793144推断确实如此。

2)jquery 3.4.1或更高版本附带哪些版本的tomcat,BO 4.2 SP05是否支持此版本的jquery

谢谢

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

一个安全漏洞报告确定了一个漏洞,据说该漏洞已通过jquery 3.4.1进行了补救。 或以上。

看起来BO 4.2 SP08(提供最新版本)只有jquery 3.3.1。

知道可以单独更新tomcat并看到sap注意如何执行此操作。

我有几个问题

1)jQuery是否与tomcat一起提供?

看着SAP笔记2793144推断确实如此。

2)jquery 3.4.1或更高版本附带哪些版本的tomcat,BO 4.2 SP05是否支持此版本的jquery

谢谢

付费偷看设置
发送
6条回答
Violet凡
1楼-- · 2020-08-23 00:52

Note 2793144不能推断有关tomcat的任何内容,它在jquery本身的代码中列出了一个修复程序,此注释所提供的产品(非BOE)中提供了该修复程序。

jquery不存在 与tomcat一起,它随BOE webapp一起提供,因此升级tomcat不会解决可能的问题。

每注 https://launchpad.support.sap.com/#/notes/2763257 带有jquery的已知漏洞已在4.2 Sp7中修复。
如果发现的漏洞具有CVE,并且该漏洞是 不同于该说明中的内容-您应该引发事件以便对其进行调查

昵称总是被占用
2楼-- · 2020-08-23 00:35

列出的CVE为CVE-2019-11358

我可以找到的唯一汁液注释是

2793144-消除了可能的jquery漏洞

这看起来像是提出一种手动解决方案,其中提到了停止原型污染。

在CVE-2019-11358上进行快速Google搜索时,除了提到原型污染之外,还提到了很多其他东西,例如跨站点脚本编写

https://www.securityfocus.com/bid/108023/references

您是否知道按照sap note 2793144中的建议可以消除CVE-2019-11358的所有漏洞?

大道至简
3楼-- · 2020-08-23 00:54

感谢更新。

是否计划了带有jquery 3.4.1的BO 4.2 Service Pack-安全报告特别提到了jquery 3.41将解决此问题?

试图查看下面的汁液注释和提及。

我可以查看其他具有管理员权限的汁液注释。

由于某些原因,此注释是否对客户不可用?

您无权访问SAP Note/KBA 2763257。

您尝试访问的SAP Note/KBA的目标受众与您的个人资料不匹配。

浮生未央
4楼-- · 2020-08-23 00:29

1)jQuery是否与tomcat一起提供?

否,但这并不相关。 jQuery包含在BOE Web应用程序中,因此,即使Tomcat包含了jQuery,旧版本仍将保留在BOE中。 您已经在BI4.2 SP08中找到了3.3.1,这在这里适用。

链接到的文章暗示,您可以在jQuery中进行更改 BOE下的源文件。 那可能是最好的解决方案,但我会联系技术支持进行确认。

天桥码农
5楼-- · 2020-08-23 00:54

感谢更新。

我们有BO 4.2 SP05,看起来根据树液注释可以将手动更改应用于

3.4.0以下的任何版本,例如BO 4.2 SP05中的1.8.3

在BO 4.2中,3.4.1似乎没有可用的Service Pack。

何必丶何苦呢
6楼-- · 2020-08-23 00:27

已按照sap note 2793144中的建议将手动更改应用于我们的测试系统-删除了可能的jquery漏洞,但这给出了http status 500错误

HTTP状态500 –内部服务器错误


类型异常报告

尝试调用从局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet()时出现的消息

说明服务器遇到意外状况,阻止其满足请求。

例外

 java.lang.NullPointerException:尝试调用从局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet()时
 com.businessobjects.servletbridge.customconfig.Config。(Config.java:37)
 com.businessobjects.servletbridge.customconfig.ConfigReader.getConfig(ConfigReader.java:370)
 com.businessobjects.pinger.TimeoutManagerFilter.getSessionState(TimeoutManagerFilter.java:216)
 com.businessobjects.pinger.TimeoutManagerFilter.doFilter(TimeoutManagerFilter.java:82)
 

注意在服务器日志中可以找到根本原因的完整堆栈跟踪。


Apache Tomcat/8.5.42

在服务器日志中查找

应用了这种方法后,任何人都看到了类似的东西。

2020年3月2日,上午11:46:02 org.apache.catalina.core.StandardWrapperValve在路径为[/BOE]的上下文中为Servlet [equinoxbridgeservlet]调用SEVERE:Servlet.service()引发异常java.lang.NullPointerException :尝试在com上调用从com.businessobjects.servletbridge.customconfig.Config。(Config.java:37)上的局部变量" globalProperties"加载的空对象的方法java.util.Properties.entrySet()时 com.businessobjects.pinger.TimeoutManagerFilter.getSessionState(TimeoutManagerFilter.java:216:com.businessobjects.pinger.TimeoutManagerFilter.doFilter(TimeoutManagerFilter.java:82)上的.businessobjects.servletbridge.customconfig.ConfigReader.getConfig(ConfigReader.java:370) )在org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166)在org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193)在org.apache.catalina.core.StandardWrapperValve。 在org.a上调用(StandardWrapperValve.java:199) 位于org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:493 :)的pache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96),位于org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve。 java:137)位于org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:81)位于org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:660)位于org.apache.catalina.core 位于org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:343)的org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:798)的.StandardEngineValve.invoke(StandardEngineValve.java:87) org.apache.tomcat.util.net.NioEndpoint $ SocketProcessor上的org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:66)在org.apache.coyote.AbstractProtocol $ ConnectionHandler.process(AbstractProtocol.java:808)在org.apache.tomcat.util.net.NioEndpoint $ SocketProcessor。 org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.j)上的doRun(NioEndpoint.java:1498) ava:49)at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)at org.apache.tomcat.util.threads处的java.util.concurrent.ThreadPoolExecutor $ Worker.run(ThreadPoolExecutor.java:617) .TaskThread $ WrappingRunnable.run(TaskThread.java:61)at java.lang.Thread.run(Thread.java:808)

一周热门 更多>