風(fēng)險通告Apache Skywalking 遠(yuǎn)程代碼執(zhí)行漏洞
2021-02-09 00:00:00
近日����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Skywalking官方發(fā)布安全更新,修復(fù)了1個SQL注入漏洞���,成功利用該漏洞可造成遠(yuǎn)程代碼執(zhí)行。
建議使用了Skywalking的用戶盡快采取防護(hù)措施��,避免遭受惡意攻擊��。
風(fēng)險等級
高危
漏洞描述
Apache Skywalking 是一款開源的應(yīng)用性能監(jiān)控系統(tǒng)�����,對微服務(wù)�、云原生和容器化應(yīng)用提供自動化、高性能的監(jiān)控方案����。
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻擊者可以構(gòu)造惡意請求查詢數(shù)據(jù)庫敏感信息�,或利用H2數(shù)據(jù)庫特性進(jìn)一步造成遠(yuǎn)程代碼執(zhí)行漏洞。
影響版本
Apache Skywalking < v8.4.0
安全版本
Apache Skywalking v8.4.0
修復(fù)建議
1. 升級至安全版本
2. 將默認(rèn)h2數(shù)據(jù)庫替換為其他支持的數(shù)據(jù)庫
如不方便升級�����,也可通過白名單限制相關(guān)項目訪問來降低漏洞風(fēng)險。
參考鏈接
[1] https://github.com/apache/skywalking/releases/tag/v8.4.0
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/08