風險通告Apache Skywalking 遠程代碼執(zhí)行漏洞
2021-02-09 00:00:00
近日�����,金山云安全應急響應中心監(jiān)測到Apache Skywalking官方發(fā)布安全更新�,修復了1個SQL注入漏洞,成功利用該漏洞可造成遠程代碼執(zhí)行�。
建議使用了Skywalking的用戶盡快采取防護措施,避免遭受惡意攻擊���。
風險等級
高危
漏洞描述
Apache Skywalking 是一款開源的應用性能監(jiān)控系統(tǒng)�����,對微服務�����、云原生和容器化應用提供自動化�����、高性能的監(jiān)控方案�。
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻擊者可以構造惡意請求查詢數據庫敏感信息���,或利用H2數據庫特性進一步造成遠程代碼執(zhí)行漏洞�。
影響版本
Apache Skywalking < v8.4.0
安全版本
Apache Skywalking v8.4.0
修復建議
1. 升級至安全版本
2. 將默認h2數據庫替換為其他支持的數據庫
如不方便升級�����,也可通過白名單限制相關項目訪問來降低漏洞風險���。
參考鏈接
[1] https://github.com/apache/skywalking/releases/tag/v8.4.0
北京金山云網絡技術有限公司
2021/02/08