欧洲三级九九九精品|99热超碰在这里的都是精品|国产91色在线|日韩|黄片在线视频观看|AAAA级毛片日本无码色情片|黄色欧洲AAAAA级别|国产视频中文字幕第一页|亚欧一二级无码欧美成a|日本国产高清无码免费|成人电影一区一级欧美特黄

官方公告

了解金山云最新公告

公告 > 安全公告 > Apache DolphinScheduler高危漏洞
Apache DolphinScheduler高危漏洞

2020-09-11 00:00:00

9月11日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到到Apache軟件基金會(huì)發(fā)布安全公告,修復(fù)了Apache DolphinScheduler權(quán)限覆蓋漏洞和遠(yuǎn)程執(zhí)行代碼漏洞。


攻擊者可利用這兩個(gè)漏洞實(shí)現(xiàn)權(quán)限提升與遠(yuǎn)程代碼執(zhí)行,危害較高,請(qǐng)相關(guān)用戶及時(shí)升級(jí)進(jìn)行防護(hù),以保證資產(chǎn)安全。


漏洞描述


Apache DolphinScheduler遠(yuǎn)程執(zhí)行代碼漏洞

漏洞編號(hào):CVE-2020-11974

該漏洞與mysql connectorj遠(yuǎn)程執(zhí)行代碼漏洞有關(guān),在選擇mysql作為數(shù)據(jù)庫(kù)時(shí),攻擊者可通過(guò)jdbc connect參數(shù)輸入{“detectCustomCollations”:true,”autoDeserialize”:true}在DolphinScheduler 服務(wù)器上遠(yuǎn)程執(zhí)行代碼。


Apache DolphinScheduler權(quán)限覆蓋漏洞

漏洞編號(hào):CVE-2020-13922

該漏洞導(dǎo)致普通用戶可通過(guò)api interface在DolphinScheduler 系統(tǒng)中覆蓋其他用戶的密碼:api interface /dolphinscheduler/users/update。


風(fēng)險(xiǎn)等級(jí)


高危


影響版本


Apache DolphinScheduler權(quán)限覆蓋漏洞(CVE-2020-13922)

u Apache DolphinScheduler 1.2.0

u Apache DolphinScheduler 1.2.1

u Apache DolphinScheduler 1.3.1


Apache DolphinScheduler遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-11974)

u Apache DolphinScheduler 1.2.0

u Apache DolphinScheduler 1.2.1


修復(fù)建議


目前官方已在最新版本中修復(fù)了此次的漏洞,請(qǐng)受影響的用戶盡快升級(jí)版本至1.3.2進(jìn)行防護(hù),官方下載鏈接:

https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html


參考鏈接

[1] https://www.mail-archive.com/announce@apache.org/msg06076.html

[2] https://www.mail-archive.com/announce@apache.org/msg06077.html





北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/09/11


上一篇:Windows NetLogon權(quán)限提升漏洞(已公開) 下一篇:【風(fēng)險(xiǎn)通告】關(guān)于微軟多個(gè)產(chǎn)品高危漏洞的安全通告