91百色国产视频|亚洲欧美伦理中文字幕在线|亚洲中文乱码在线|天堂影音av在线|国产激情人妻熟女|AV无码高清在线|超碰在线免费观看操|亚洲va中文字幕|欧美极品性爱四区|国产精品二区在线观看

2020年4月16日，金山云安全應(yīng)急響應(yīng)中心監(jiān)控到業(yè)內(nèi)安全廠商發(fā)布了一則安全公告，描述了Kong API網(wǎng)關(guān)的一個(gè)高危漏洞，Kong API網(wǎng)關(guān)管理員控制接口存在未授權(quán)訪問漏洞，攻擊者可以通過(guò)Kong API網(wǎng)關(guān)管理員控制接口，直接控制 API 網(wǎng)關(guān)并使其成為一個(gè)開放性的流量代理，從而訪問到內(nèi)部的敏感服務(wù)。

對(duì)此，金山云安全響應(yīng)中心建議廣大用戶及時(shí)安裝最新補(bǔ)丁，做好資產(chǎn)自查及預(yù)防工作，以免遭受攻擊。

漏洞編號(hào):

CVE-2020-11710

漏洞名稱:

Kong Admin Restful API網(wǎng)關(guān)未授權(quán)漏洞

危害等級(jí):

高危

漏洞描述:

Kong API 網(wǎng)關(guān) 是目前最受歡迎的云原生API網(wǎng)關(guān)之一，有開源版和企業(yè)版兩個(gè)分支，被廣泛應(yīng)用于云原生、微服務(wù)、分布式、無(wú)服務(wù)云函數(shù)等場(chǎng)景的API接入中間件，為云原生應(yīng)用提供鑒權(quán)，轉(zhuǎn)發(fā)，負(fù)載均衡，監(jiān)控等能力。Kong API 網(wǎng)關(guān)管理員控制接口存在未授權(quán)訪問漏洞，攻擊者可以通過(guò) Kong API 網(wǎng)關(guān)管理員控制接口，直接控制 API 網(wǎng)關(guān)并使其成為一個(gè)開放性的流量代理，從而訪問到內(nèi)部的敏感服務(wù)。

企業(yè)在使用 Kong 作為云原生架構(gòu)的API網(wǎng)關(guān)時(shí)，通常會(huì)使用容器的方式進(jìn)行搭建，以支持分布式和可擴(kuò)展性；而在 2.0.3 版本之前，當(dāng)企業(yè)遵循官方文檔或默認(rèn)配置使用 Docker 容器的方式搭建 Kong API 網(wǎng)關(guān)時(shí)，官方文檔和默認(rèn)配置都會(huì)指引用戶將未經(jīng)鑒權(quán)的 Admin 管理能力對(duì)公網(wǎng)開放（0.0.0.0），導(dǎo)致攻擊者可以控制網(wǎng)關(guān)的全部能力，修改 upstreams、services、router 等配置，進(jìn)而攻擊企業(yè)內(nèi)網(wǎng)。Kong 官方在安裝指引中針對(duì)通過(guò) docker 進(jìn)行實(shí)際部署的示范如下圖：

默認(rèn)將 Admin Restful API (port: 8001/8444) 也一并暴露在了公網(wǎng)之上，進(jìn)而導(dǎo)致攻擊者可以完全控制 Kong 網(wǎng)關(guān)的所有行為。

影響版本:

Kong < 2.0.3

修復(fù)方案：

受影響應(yīng)用升級(jí)到 git commit d693827c32144943a2f45abc017c1321b33ff611 版本，

官方下載地址為：

Kong git commit 補(bǔ)丁地址

https://github.com/Kong/docker-kong/commit/dfa095ca df7e8309155be51982d8720daf32e31c

臨時(shí)修復(fù)建議 ：

1. 自行修改 docker-compose.yaml 中的內(nèi)容將端口映射限制為 127.0.0.1

2. 通過(guò) IPS/防火墻 等設(shè)備將 Kong Admin Restful API 相關(guān)端口禁止外部流量進(jìn)入 

參考鏈接：

https://mp.weixin.qq.com/s/mzwwjglGKi8prm5SoaJaww

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/04/16