風(fēng)險(xiǎn)通告Apache Skywalking 遠(yuǎn)程代碼執(zhí)行漏洞
2021-02-09 00:00:00
近日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Skywalking官方發(fā)布安全更新,修復(fù)了1個SQL注入漏洞�,成功利用該漏洞可造成遠(yuǎn)程代碼執(zhí)行��。
建議使用了Skywalking的用戶盡快采取防護(hù)措施,避免遭受惡意攻擊�。
風(fēng)險(xiǎn)等級
高危
漏洞描述
Apache Skywalking 是一款開源的應(yīng)用性能監(jiān)控系統(tǒng),對微服務(wù)���、云原生和容器化應(yīng)用提供自動化�����、高性能的監(jiān)控方案��。
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻擊者可以構(gòu)造惡意請求查詢數(shù)據(jù)庫敏感信息��,或利用H2數(shù)據(jù)庫特性進(jìn)一步造成遠(yuǎn)程代碼執(zhí)行漏洞���。
影響版本
Apache Skywalking < v8.4.0
安全版本
Apache Skywalking v8.4.0
修復(fù)建議
1. 升級至安全版本
2. 將默認(rèn)h2數(shù)據(jù)庫替換為其他支持的數(shù)據(jù)庫
如不方便升級,也可通過白名單限制相關(guān)項(xiàng)目訪問來降低漏洞風(fēng)險(xiǎn)�。
參考鏈接
[1] https://github.com/apache/skywalking/releases/tag/v8.4.0
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/08