緊急通告:Apache SkyWalking SQL(CVE-2020-13921)風險通告
0x01漏洞描述
近日,騰訊安全團隊向Apache SkyWalking官方團隊提交SQL注入漏洞,***者可利用漏洞獲取服務器的敏感信息,目前官方已發佈新版本修復該漏洞。數據庫
東塔安全學院建議相關單位及時開展安全自查,如在受影響範圍,請您及時進行更新修復,避免被外部***者***。apache
0x02漏洞詳情
在SkyWalking多個版本中,默認開放的未受權GraphQL接口,經過該接口,***者能夠構造惡意的請求包進行SQL注入,從而致使用戶數據庫敏感信息泄露。鑑於該漏洞影響較大,建議企業儘快修復。安全
Apache SkyWalking 是一款應用性能監控(APM)工具,對微服務、雲原生和容器化應用提供自動化、高性能的監控方案。其官方網站顯示,大量國內互聯網、銀行、民航等領域的公司在使用此工具。服務器
0x03影響範圍
Apache SkyWalking 6.0.0~6.6.0
Apache SkyWalking 7.0.0
Apache SkyWalking 8.0.0~8.0.1網絡
0x04風險等級
嚴重ide
0x05安全版本
Apache SkyWalking 8.1.0微服務
0x06空間測繪數據
根據騰訊安全網絡空間測繪數據顯示,Apache SkyWalking在中國有十分普遍的應用,浙江、北京、上海位居前三。工具
0x07漏洞修復方案
官方已發佈新版本修復該漏洞:性能
1)推薦方案:升級到Apache SkyWalking 8.1.0或更新版本。
下載連接:http://skywalking.apache.org/downloads/
東塔安全學院建議修復漏洞前作好備份及測試工做,以防意外發生。測試
臨時解決方案:2)如暫時沒法升級,做爲緩解措施,建議不要將Apache SkyWalking的GraphQL接口暴露在外網,或在GraphQL接口之上增長一層認證。
相關文章
- 1. 緊急通告:Apache SkyWalking SQL(CVE-2020-13921)風險通告
- 2. 【安全風險通告】Apache ShardingSphere遠程代碼執行漏洞安全風險通告
- 3. 緊急通知!
- 4. 【通告更新】Apache Tomcat服務器文件包含漏洞安全風險通告第三次更新
- 5. 風險評估報告
- 6. Treck TCP/IP協議庫多個漏洞安全風險通告
- 7. 微軟 SMB3 協議遠程利用 0day 漏洞風險通告
- 8. Github 和京東中間人攻擊事件風險通告
- 9. VMware 多個產品中危漏洞安全風險通告
- 10. 【漏洞通告】Apache ShardingSphere遠程代碼執行漏洞(CVE-2020-1947)通告
- 更多相關文章...
- • SQL 通配符 - SQL 教程
- • SQL 通用數據類型 - SQL 教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • Docker容器實戰(六) - 容器的隔離與限制
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 緊急通告:Apache SkyWalking SQL(CVE-2020-13921)風險通告
- 2. 【安全風險通告】Apache ShardingSphere遠程代碼執行漏洞安全風險通告
- 3. 緊急通知!
- 4. 【通告更新】Apache Tomcat服務器文件包含漏洞安全風險通告第三次更新
- 5. 風險評估報告
- 6. Treck TCP/IP協議庫多個漏洞安全風險通告
- 7. 微軟 SMB3 協議遠程利用 0day 漏洞風險通告
- 8. Github 和京東中間人攻擊事件風險通告
- 9. VMware 多個產品中危漏洞安全風險通告
- 10. 【漏洞通告】Apache ShardingSphere遠程代碼執行漏洞(CVE-2020-1947)通告