近日,騰訊藍軍(force.tencent.com)發(fā)現(xiàn)并向Apache SkyWalking官方團隊提交SQL注入漏洞(漏洞編號:CVE-2020-13921),目前官方已發(fā)布新版本修復該漏洞。
為避免您的業(yè)務受影響,騰訊云安全建議您及時開展安全自查,如在受影響范圍,請您及時進行更新修復,避免被外部攻擊者入侵。
漏洞詳情
Apache SkyWalking 是一款應用性能監(jiān)控(APM)工具,對微服務、云原生和容器化應用提供自動化、高性能的監(jiān)控方案。其官方網(wǎng)站顯示,大量的國內(nèi)互聯(lián)網(wǎng)、銀行、民航等領域的公司在使用此工具。
在SkyWalking多個版本中,默認開放的未授權GraphQL接口,通過該接口,攻擊者可以構造惡意的請求包進行SQL注入,從而導致用戶數(shù)據(jù)庫敏感信息泄露。鑒于該漏洞影響較大,建議企業(yè)盡快修復。
風險等級
高風險
漏洞風險
通過SQL注入,攻擊者可以在服務器上竊取敏感信息
影響版本
Apache SkyWalking 6.0.0~6.6.0
Apache SkyWalking 7.0.0
Apache SkyWalking 8.0.0~8.0.1
修復版本
Apache SkyWalking 8.1.0
修復建議
官方已發(fā)布新版本修復該漏洞,騰訊云安全建議您:
推薦方案:升級到Apache SkyWalking 8.1.0或更新版本。
如暫時無法升級,作為緩解措施,建議不要將Apache SkyWalking的GraphQL接口暴露在外網(wǎng),或在GraphQL接口之上增加一層認證。
推薦企業(yè)用戶采取騰訊安全產(chǎn)品檢測并攔截Apache SkyWalking SQL注入漏洞的攻擊。
騰訊安全解決方案
騰訊云T-Sec Web應用防火墻已支持攔截防御SkyWalking SQL注入漏洞攻擊。
點擊「閱讀原文」,訪問官方更新通告和升級鏈接:
https://github.com/apache/skywalking/releases/tag/v8.1.0
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!