GeoScene Portal 4.1 Guava安全漏洞解决方案

软件版本

GeoScene Portal版本：4.1

漏洞名称

Guava 竞争条件漏洞(CVE-2023-2976)

漏洞描述

Guava 是 Google 公司开发的开源 Java 代码库，提供常用的Java工具和数据结构。Guava 存在安全漏洞，该漏洞源于允许机器上有权访问默认 Java 临时目录的用户和应用程序能够在FileBackedOutputStream中创建文件。

漏洞位置

C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\opensearch-security\guava-30.0-jre.jar

C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\repository-azure\guava-31.1-jre.jar

C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\opensearch-sql\guava-31.0.1-jre.jar

C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\repository-gcs\guava-30.1.1-jre.jar

解决方案

方案一

升级所有的guava.jar到guava-32.1.2-jre.jar即可。

下载地址：https://repo1.maven.org/maven2/com/google/guava/guava/32.1.2-jre/

1、停止GeoScene Portal服务。

2、把所有的guava-xx.x-jre.jar替换成guava-32.1.2-jre.jar。

3、启动GeoScene Portal服务。（启动时间可能比较长，要有耐心）

方案二（推荐，可以同时修复SnakeYAML漏洞）

升级OpenSearch到2.19.3即可。

OpenSearch下载地址：https://opensearch.org/artifacts/by-version/#release-2-19-3

1、停止GeoScene Portal服务。

2、下载后解压到C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\，替换掉原来的opensearch。

3、启动GeoScene Portal服务。（启动时间可能比较长，要有耐心）