Apache SkyWalking是一款开源的应用性能监控系统,提供指标监控、分布式追踪和性能诊断功能。
2021年1月23日,阿里蚂蚁安全非攻实验室向Apache官方报告了Apache SkyWalking存在SQL注入及远程代码执行漏洞。随后在2月4日,Apache SkyWalking官方发布了安全更新,修复了这一重要漏洞。阿里云应急响应中心在2月7日监测到该安全更新的发布。
以下是漏洞的详细信息:
漏洞详情
Apache SkyWalking GraphQL注入漏洞 严重程度:高危
SQL注入是指Web应用程序未对用户输入的数据进行合法性检查或过滤不严,攻击者可以在预定义的查询语句末尾添加恶意SQL语句,导致数据库执行未授权的查询,从而获取敏感数据。
在Apache SkyWalking的某个GraphQL功能中,存在SQL注入漏洞,攻击者可以通过构造恶意请求来查询数据库的敏感信息,甚至利用H2数据库特性导致远程代码执行漏洞。
受影响的产品版本
该漏洞影响Apache SkyWalking v8.4.0及之前的版本。
解决方案
1. 将Apache SkyWalking升级至最新的v8.4.0版本。
2. 将默认的H2数据库替换为其他支持的数据库。
欲了解更多漏洞信息及升级细节,请访问官网:
https://Github.coM/Apache/skywalking/Releases/tag/v8.4.0?spM=a2c4g.11174386.n2.3.5a891051y1450a&aMp;file=v8.4.0
[[[IMG_1]]]
[[[IMG_2]]]
