風險通告Apache Skywalking 遠程代碼執(zhí)行漏洞
2021-02-09 00:00:00
近日���,金山云安全應急響應中心監(jiān)測到Apache Skywalking官方發(fā)布安全更新����,修復了1個SQL注入漏洞�����,成功利用該漏洞可造成遠程代碼執(zhí)行�����。
建議使用了Skywalking的用戶盡快采取防護措施�����,避免遭受惡意攻擊�。
風險等級
高危
漏洞描述
Apache Skywalking 是一款開源的應用性能監(jiān)控系統(tǒng),對微服務�、云原生和容器化應用提供自動化、高性能的監(jiān)控方案�����。
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞����,攻擊者可以構造惡意請求查詢數(shù)據(jù)庫敏感信息,或利用H2數(shù)據(jù)庫特性進一步造成遠程代碼執(zhí)行漏洞�����。
影響版本
Apache Skywalking < v8.4.0
安全版本
Apache Skywalking v8.4.0
修復建議
1. 升級至安全版本
2. 將默認h2數(shù)據(jù)庫替換為其他支持的數(shù)據(jù)庫
如不方便升級����,也可通過白名單限制相關項目訪問來降低漏洞風險。
參考鏈接
[1] https://github.com/apache/skywalking/releases/tag/v8.4.0
北京金山云網(wǎng)絡技術有限公司
2021/02/08