當前位置:首頁 >  IDC >  安全 >  正文

Apache SkyWalking 漏洞安全風(fēng)險公告

 2020-08-07 11:12  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

近日,騰訊藍軍(force.tencent.com)發(fā)現(xiàn)并向Apache SkyWalking官方團隊提交SQL注入漏洞(漏洞編號:CVE-2020-13921),目前官方已發(fā)布新版本修復(fù)該漏洞。

為避免您的業(yè)務(wù)受影響,騰訊云安全建議您及時開展安全自查,如在受影響范圍,請您及時進行更新修復(fù),避免被外部攻擊者入侵。

漏洞詳情

Apache SkyWalking 是一款應(yīng)用性能監(jiān)控(APM)工具,對微服務(wù)、云原生和容器化應(yīng)用提供自動化、高性能的監(jiān)控方案。其官方網(wǎng)站顯示,大量的國內(nèi)互聯(lián)網(wǎng)、銀行、民航等領(lǐng)域的公司在使用此工具。

在SkyWalking多個版本中,默認開放的未授權(quán)GraphQL接口,通過該接口,攻擊者可以構(gòu)造惡意的請求包進行SQL注入,從而導(dǎo)致用戶數(shù)據(jù)庫敏感信息泄露。鑒于該漏洞影響較大,建議企業(yè)盡快修復(fù)。

風(fēng)險等級

高風(fēng)險

漏洞風(fēng)險

通過SQL注入,攻擊者可以在服務(wù)器上竊取敏感信息

影響版本

Apache SkyWalking 6.0.0~6.6.0

Apache SkyWalking 7.0.0

Apache SkyWalking 8.0.0~8.0.1

修復(fù)版本

Apache SkyWalking 8.1.0

修復(fù)建議

官方已發(fā)布新版本修復(fù)該漏洞,騰訊云安全建議您:

推薦方案:升級到Apache SkyWalking 8.1.0或更新版本。

如暫時無法升級,作為緩解措施,建議不要將Apache SkyWalking的GraphQL接口暴露在外網(wǎng),或在GraphQL接口之上增加一層認證。

推薦企業(yè)用戶采取騰訊安全產(chǎn)品檢測并攔截Apache SkyWalking SQL注入漏洞的攻擊。

騰訊安全解決方案

騰訊云T-Sec Web應(yīng)用防火墻已支持攔截防御SkyWalking SQL注入漏洞攻擊。

點擊「閱讀原文」,訪問官方更新通告和升級鏈接:

https://github.com/apache/skywalking/releases/tag/v8.1.0

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
安全漏洞

相關(guān)文章

熱門排行

信息推薦