首页 云计算

云安全日报210208:Apache SkyWalking性能监控系统发现SQL注入漏洞,需要尽快升级

Apache SkyWalking是一款开源的应用性能监控系统,包括指标监控,分布式追踪,分布式系统性能诊断。

2021年1月23日,阿里蚂蚁安全非攻实验室向Apache官方报告了Apache Skywalking SQL注入与远程代码执行漏洞。2月4日, Apache Skywalking官方发布了安全更新,修复了蚂蚁安全非攻实验室发现上报的重要漏洞。2月7日,阿里云应急响应中心监测到 Apache Skywalking 官方发布安全更新修复该漏洞。

以下是漏洞详情:

漏洞详情

来源:https://help.aliyun.com/noticelist/articleid/1060803348.html?spm=a2c4g.789213612.n2.6.aa166141TBnfTd

Apache Skywalking GraphQL注入漏洞   严重程度:高危

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻击者可以构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行漏洞。

受影响的产品版本

上述漏洞影响Apache Skywalking v8.4.0之前版本

解决方案

1、升级Apache Skywalking 到最新的 v8.4.0 版本。

2、将默认h2数据库替换为其它支持的数据库。

查看更多漏洞信息 以及升级请访问官网:

https://github.com/apache/skywalking/releases/tag/v8.4.0?spm=a2c4g.11174386.n2.3.5a891051y1450a&file=v8.4.0

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多