基本信息
风险等级:高危
漏洞类型:身份认证绕过
漏洞描述
近日,飓风安全应急团队监测到Apache发布安全公告,修复了一个存在于Apache ShardingSphere中的安全漏洞,由于Apache ShardingSphere-Proxy在使用MySQL作为后端数据库时,在客户端认证失败后并没有完全清理数据库会话,导致攻击者可以通过构造一个特殊的MySQL客户端来绕过身份认证并执行命令。
【受影响版本】
-
Apache ShardingSphere < 5.3.0
【安全版本】
-
Apache ShardingSphere >= 5.3.0
Apache ShardingSphere是关系型数据库中间件,可将任何数据库转换为分布式数据库系统,并通过分片、弹性扩展、加密功能等对其进行增强,旨在充分合理地在分布式的场景下利用关系型数据库的计算和存储能力,而并非实现一个全新的关系型数据库,它与NoSQL和NewSQL是并存而非互斥的关系。
影响范围
Apache ShardingSphere < 5.3.0
解决方案
临时修复建议:
-
如果目前无法升级,若业务环境允许,使用白名单限制相关端口的访问来降低风险。
通用修复建议:
官方已经针对漏洞发布了版本更新,下载地址如下:
-
https://shardingsphere.apache.org/document/current/en/downloads/
原文始发于微信公众号(飓风网络安全):Apache ShardingSphere身份认证绕过漏洞 (CVE-2022-45347)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论