【高危】- Apache SkyWalking SQL 注入漏洞安全风险通告
■ 漏洞描述
Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。它提供了分布式追踪,服务网格遥感数据分析,指标聚合和可视化等多种能力。项目覆盖范围,从一个单纯的分布式追踪系统,扩展为一个可观测性分析平台和应用性能监控管理系统。
Apache SkyWalking官方发布安全通告修复了Apache SkyWalking SQL注入漏洞(CVE-2020-13921),存在默认开放的未授权 GraphQL 接口,通过该接口,攻击者可以构造恶意的请求包进行 SQL 注入,从而导致用户数据库敏感信息泄露。
■ 影响范围
Apache SkyWalking 6.0.0 - 6.6.0
Apache SkyWalking 7.0.0
Apache SkyWalking 8.0.0 - 8.0.1
■ 漏洞检测
1、匹配版本号
2、是否开启GraphQL 接口
■ 漏洞修复
1、升级到 Apache SkyWalking 8.1.0。
下载链接:http://skywalking.apache.org/downloads/
■ 临时修复
不要将 Apache SkyWalking 的 GraphQL 接口暴露在外网或在 GraphQL 接口之上增加一层认证。
■ 漏洞详情
https://github.com/apache/skywalking/releases
Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。它提供了分布式追踪,服务网格遥感数据分析,指标聚合和可视化等多种能力。项目覆盖范围,从一个单纯的分布式追踪系统,扩展为一个可观测性分析平台和应用性能监控管理系统。
Apache SkyWalking官方发布安全通告修复了Apache SkyWalking SQL注入漏洞(CVE-2020-13921),存在默认开放的未授权 GraphQL 接口,通过该接口,攻击者可以构造恶意的请求包进行 SQL 注入,从而导致用户数据库敏感信息泄露。
■ 影响范围
Apache SkyWalking 6.0.0 - 6.6.0
Apache SkyWalking 7.0.0
Apache SkyWalking 8.0.0 - 8.0.1
■ 漏洞检测
1、匹配版本号
2、是否开启GraphQL 接口
■ 漏洞修复
1、升级到 Apache SkyWalking 8.1.0。
下载链接:http://skywalking.apache.org/downloads/
■ 临时修复
不要将 Apache SkyWalking 的 GraphQL 接口暴露在外网或在 GraphQL 接口之上增加一层认证。
■ 漏洞详情
https://github.com/apache/skywalking/releases