91百色国产视频|亚洲欧美伦理中文字幕在线|亚洲中文乱码在线|天堂影音av在线|国产激情人妻熟女|AV无码高清在线|超碰在线免费观看操|亚洲va中文字幕|欧美极品性爱四区|国产精品二区在线观看

9月11日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測到到Apache軟件基金會發(fā)布安全公告，修復(fù)了Apache DolphinScheduler權(quán)限覆蓋漏洞和遠(yuǎn)程執(zhí)行代碼漏洞。

攻擊者可利用這兩個漏洞實(shí)現(xiàn)權(quán)限提升與遠(yuǎn)程代碼執(zhí)行，危害較高，請相關(guān)用戶及時升級進(jìn)行防護(hù)，以保證資產(chǎn)安全。

漏洞描述

Apache DolphinScheduler遠(yuǎn)程執(zhí)行代碼漏洞

漏洞編號：CVE-2020-11974

該漏洞與mysql connectorj遠(yuǎn)程執(zhí)行代碼漏洞有關(guān)，在選擇mysql作為數(shù)據(jù)庫時，攻擊者可通過jdbc connect參數(shù)輸入{“detectCustomCollations”:true,”autoDeserialize”:true}在DolphinScheduler 服務(wù)器上遠(yuǎn)程執(zhí)行代碼。

Apache DolphinScheduler權(quán)限覆蓋漏洞

漏洞編號：CVE-2020-13922

該漏洞導(dǎo)致普通用戶可通過api interface在DolphinScheduler 系統(tǒng)中覆蓋其他用戶的密碼：api interface /dolphinscheduler/users/update。

風(fēng)險等級

高危

影響版本

Apache DolphinScheduler權(quán)限覆蓋漏洞（CVE-2020-13922）

u Apache DolphinScheduler 1.2.0

u Apache DolphinScheduler 1.2.1

u Apache DolphinScheduler 1.3.1

Apache DolphinScheduler遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2020-11974）

u Apache DolphinScheduler 1.2.0

u Apache DolphinScheduler 1.2.1

修復(fù)建議

目前官方已在最新版本中修復(fù)了此次的漏洞，請受影響的用戶盡快升級版本至1.3.2進(jìn)行防護(hù)，官方下載鏈接：

https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html

參考鏈接

[1] https://www.mail-archive.com/announce@apache.org/msg06076.html

[2] https://www.mail-archive.com/announce@apache.org/msg06077.html

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/09/11