風(fēng)險(xiǎn)通告Apache Skywalking 遠(yuǎn)程代碼執(zhí)行漏洞
2021-02-09 00:00:00
近日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Skywalking官方發(fā)布安全更新,修復(fù)了1個(gè)SQL注入漏洞�����,成功利用該漏洞可造成遠(yuǎn)程代碼執(zhí)行��。
建議使用了Skywalking的用戶盡快采取防護(hù)措施��,避免遭受惡意攻擊。
風(fēng)險(xiǎn)等級(jí)
高危
漏洞描述
Apache Skywalking 是一款開(kāi)源的應(yīng)用性能監(jiān)控系統(tǒng)�����,對(duì)微服務(wù)����、云原生和容器化應(yīng)用提供自動(dòng)化���、高性能的監(jiān)控方案�����。
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞����,攻擊者可以構(gòu)造惡意請(qǐng)求查詢數(shù)據(jù)庫(kù)敏感信息�����,或利用H2數(shù)據(jù)庫(kù)特性進(jìn)一步造成遠(yuǎn)程代碼執(zhí)行漏洞����。
影響版本
Apache Skywalking < v8.4.0
安全版本
Apache Skywalking v8.4.0
修復(fù)建議
1. 升級(jí)至安全版本
2. 將默認(rèn)h2數(shù)據(jù)庫(kù)替換為其他支持的數(shù)據(jù)庫(kù)
如不方便升級(jí),也可通過(guò)白名單限制相關(guān)項(xiàng)目訪問(wèn)來(lái)降低漏洞風(fēng)險(xiǎn)����。
參考鏈接
[1] https://github.com/apache/skywalking/releases/tag/v8.4.0
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/08