产品简介:
Apache DolphinScheduler(海豚调度),国人之光,是许多国人开源在Apache的顶级项目,主要功能就是负责任务的调度处理。
Apache DolphinScheduler是一个分布式去中心化,易扩展的可视化DAG工作流任务调度系统。致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。
漏洞描述:
Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。受影响版本中,由于没有限制暴露的端点,导致所有端点全部暴露。未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性,可能泄露数据库凭证信息。
影响范围:
org.apache.dolphinscheduler:dolphinscheduler-server[3.0.0, 3.0.2)
org.apache.dolphinscheduler:dolphinscheduler-meter[3.0.0, 3.0.2)
org.apache.dolphinscheduler:dolphinscheduler-api[3.0.0, 3.0.2)
org.apache.dolphinscheduler:dolphinscheduler-alert[3.0.0, 3.0.2)
修复方案:
将 org.apache.dolphinscheduler:dolphinscheduler-api 升级至 3.0.2 及以上版本
将 org.apache.dolphinscheduler:dolphinscheduler-alert 升级至 3.0.2 及以上版本
将 org.apache.dolphinscheduler:dolphinscheduler-server 升级至 3.0.2 及以上版本
在application.yaml中添加include: health,metrics,prometheus
将 org.apache.dolphinscheduler:dolphinscheduler-meter 升级至 3.0.2 及以上版本
参考链接:
https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo
https://github.com/apache/dolphinscheduler/commit/f2cec3e2593ae5b54dcd7aa992081b84b4b4663a
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache DolphinScheduler 敏感信息泄漏CVE-2023-48796
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论