安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921)
时间:2022-07-22
本文章向大家介绍安全通告 | Apache SkyWalking SQL注入漏洞安全风险公告(CVE-2020-13921),主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
近日,腾讯蓝军(force.tencent.com)发现并向Apache SkyWalking官方团队提交SQL注入漏洞(漏洞编号:CVE-2020-13921),目前官方已发布新版本修复该漏洞。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。
在SkyWalking多个版本中,默认开放的未授权GraphQL接口,通过该接口,攻击者可以构造恶意的请求包进行SQL注入,从而导致用户数据库敏感信息泄露。鉴于该漏洞影响较大,建议企业尽快修复。
风险等级
高风险
漏洞风险
通过SQL注入,攻击者可以在服务器上窃取敏感信息
影响版本
- Apache SkyWalking 6.0.0~6.6.0
- Apache SkyWalking 7.0.0
- Apache SkyWalking 8.0.0~8.0.1
修复版本
Apache SkyWalking 8.1.0
修复建议
官方已发布新版本修复该漏洞,腾讯云安全建议您:
1. 推荐方案:升级到Apache SkyWalking 8.1.0或更新版本。
2. 如暂时无法升级,作为缓解措施,建议不要将Apache SkyWalking的GraphQL接口暴露在外网,或在GraphQL接口之上增加一层认证。
3. 推荐企业用户采取腾讯安全产品检测并拦截Apache SkyWalking SQL注入漏洞的攻击。
腾讯安全解决方案
腾讯云T-Sec Web应用防火墙已支持拦截防御SkyWalking SQL注入漏洞攻击。
官方更新通告和升级链接:https://github.com/apache/skywalking/releases/tag/v8.1.0
- 使用Python对Instagram进行数据分析
- 解决多标签分类问题(包括案例研究)
- Docker Compose + GPU + TensorFlow = Heart
- Tensorflow生成模型收集: GANs与VAEs
- How to Install Nginx and PHP-FPM on FreeBSD 10
- 使用Apache MXNet分类交通标志图像
- CentOS 6.4 + nginx-1.2.5 + php-5.4.15 + MySQL-5.5.31
- 面试问题 - 只用位操作在ABAP里实现a+b
- JAVA 中异常处理的最佳实践
- webpack 4 升级指北
- 对抗蠕虫 —— 如何让按钮不被 JS 自动点击
- 让你的 git 拥有不同身份
- 购物网站的 redis 相关实现(Java)
- Chrome 常用插件 前端-后端-产品
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 解决Android应用冷启动时出现的白屏问题的方法
- Java点餐系统+扫码点餐小程序部署文档(2020版)
- Android开发实现各种图形绘制功能示例
- Android webview手动校验https证书(by 星空武哥)
- AndroidStudio Gradle第三依赖统一管理的实现方法
- 小程序上传多张图片到springboot后台,返回可供访问的图片链接
- AndroidStudio Gradle基于友盟的多渠道打包方法
- Android开发之全屏与非全屏的切换设置方法小结
- Android使用GridView实现日历的方法
- Android控件AppWidgetProvider使用方法详解
- R语言使用链梯法Chain Ladder和泊松定律模拟和预测未来赔款数据
- Android ViewPager实现左右滑动的实例
- R语言通过伽玛与对数正态分布假设下的广义线性模型对大额索赔进行评估预测
- R语言中回归模型预测的不同类型置信区间应用比较分析
- 第06期:Prometheus 存储