Guava 是 Google 公司开发的开源 Java 代码库,提供常用的Java工具和数据结构。由于GeoScene Portal 4.1使用了guava-30.0-jre.jar、guava-31.0.1-jre.jar、guava-31.1-jre.jar等,导致了该漏洞,需要升级到guava-32.1.2-jre.jar。
该文档已过期,把 OpenSearch到2.19.3虽然能解决该漏洞。但是,无法解决Netty安全漏洞。最新文档请参考GeoScene Portal 4.1 Netty安全漏洞解决方案。
GeoScene Portal版本:4.1
Guava 竞争条件漏洞(CVE-2023-2976)
Guava 是 Google 公司开发的开源 Java 代码库,提供常用的Java工具和数据结构。Guava 存在安全漏洞,该漏洞源于允许机器上有权访问默认 Java 临时目录的用户和应用程序能够在FileBackedOutputStream中创建文件。
C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\opensearch-security\guava-30.0-jre.jar
C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\repository-azure\guava-31.1-jre.jar
C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\opensearch-sql\guava-31.0.1-jre.jar
C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\opensearch\plugins\repository-gcs\guava-30.1.1-jre.jar
升级所有的guava.jar到guava-32.1.2-jre.jar即可。
下载地址:https://repo1.maven.org/maven2/com/google/guava/guava/32.1.2-jre/
1、停止GeoScene Portal服务。
2、把所有的guava-xx.x-jre.jar替换成guava-32.1.2-jre.jar。
3、启动GeoScene Portal服务。(启动时间可能比较长,要有耐心)
升级OpenSearch到2.19.3即可。
OpenSearch下载地址:https://opensearch.org/artifacts/by-version/#release-2-19-3
1、停止GeoScene Portal服务。
2、下载后解压到C:\GeoScene\Portal\framework\runtime\ds\framework\runtime\,替换掉原来的opensearch。
3、启动GeoScene Portal服务。(启动时间可能比较长,要有耐心)