Apache ShardingSphere身份认证绕过漏洞 (CVE-2022-45347)

admin 2023年1月1日16:19:09安全漏洞评论20 views707字阅读2分21秒阅读模式

基本信息    

风险等级:高危                    

漏洞类型:身份认证绕过

漏洞描述                                        

近日,飓风安全应急团队监测到Apache发布安全公告,修复了一个存在于Apache ShardingSphere中的安全漏洞,由于Apache ShardingSphere-Proxy在使用MySQL作为后端数据库时,在客户端认证失败后并没有完全清理数据库会话,导致攻击者可以通过构造一个特殊的MySQL客户端来绕过身份认证并执行命令。

【受影响版本】

  • Apache ShardingSphere < 5.3.0

【安全版本】

  • Apache ShardingSphere >= 5.3.0

   

Apache ShardingSphere身份认证绕过漏洞 (CVE-2022-45347)

Apache ShardingSphere是关系型数据库中间件,可将任何数据库转换为分布式数据库系统,并通过分片、弹性扩展、加密功能等对其进行增强,旨在充分合理地在分布式的场景下利用关系型数据库的计算和存储能力,而并非实现一个全新的关系型数据库,它与NoSQL和NewSQL是并存而非互斥的关系。

影响范围        

Apache ShardingSphere < 5.3.0

解决方案                                                     

临时修复建议:

  • 如果目前无法升级,若业务环境允许,使用白名单限制相关端口的访问来降低风险。


通用修复建议:

官方已经针对漏洞发布了版本更新,下载地址如下:

  • https://shardingsphere.apache.org/document/current/en/downloads/

原文始发于微信公众号(飓风网络安全):Apache ShardingSphere身份认证绕过漏洞 (CVE-2022-45347)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月1日16:19:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Apache ShardingSphere身份认证绕过漏洞 (CVE-2022-45347) http://cn-sec.com/archives/1488055.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: