风险通告Apache Skywalking 远程代码执行漏洞
发布时间:2021-02-09 00:00:00
近日,金山云安全应急响应中心监测到Apache Skywalking官方发布安全更新,修复了1个SQL注入漏洞,成功利用该漏洞可造成远程代码执行。
建议使用了Skywalking的用户尽快采取防护措施,避免遭受恶意攻击。
风险等级
高危
漏洞描述
Apache Skywalking 是一款开源的应用性能监控系统,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻击者可以构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行漏洞。
影响版本
Apache Skywalking < v8.4.0
安全版本
Apache Skywalking v8.4.0
修复建议
1. 升级至安全版本
2. 将默认h2数据库替换为其他支持的数据库
如不方便升级,也可通过白名单限制相关项目访问来降低漏洞风险。
参考链接
[1] https://github.com/apache/skywalking/releases/tag/v8.4.0
北京金山云网络技术有限公司
2021/02/08
以上就是金山云为您带来的风险通告Apache Skywalking 远程代码执行漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。