【高危】- Apache SkyWalking SQL注入漏洞通告(CVE-2020-9483)
■ 漏洞描述
ApacheSkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。
Apache SkyWalking发布更新,修复了一个SQL注入漏洞。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。
■ 影响范围
Apache SkyWalking 6.0.0~6.6.0
Apache SkyWalking 7.0.0
■ 漏洞检测
检测方法:
1、查看系统版本。
2、是否开启Apache SkyWalkingGraphQL接口。
■ 漏洞修复
升级Apache SkyWalking至8.0版,升级链接:https://github.com/apache/skywalking/releases
■ 临时修复
1、暂时无法升级,添加访问限制,禁止Apache SkyWalking的GraphQL接口暴露在外网。
■ 漏洞详情
https://mp.weixin.qq.com/s/tVJQa4so8nm0RYiWiKUYww
ApacheSkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。
Apache SkyWalking发布更新,修复了一个SQL注入漏洞。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。
■ 影响范围
Apache SkyWalking 6.0.0~6.6.0
Apache SkyWalking 7.0.0
■ 漏洞检测
检测方法:
1、查看系统版本。
2、是否开启Apache SkyWalkingGraphQL接口。
■ 漏洞修复
升级Apache SkyWalking至8.0版,升级链接:https://github.com/apache/skywalking/releases
■ 临时修复
1、暂时无法升级,添加访问限制,禁止Apache SkyWalking的GraphQL接口暴露在外网。
■ 漏洞详情
https://mp.weixin.qq.com/s/tVJQa4so8nm0RYiWiKUYww