2021年2月7日,Apache Skywalking官方发布安全更新公告,修复了Apache Skywalking SQL注入与远程代码执行漏洞。
1
漏洞详情
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻击者可以构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行。
Apache SkyWalking是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。
2
漏洞等级
高危
3
受影响的版本
Apache Skywalking < v8.4.0
4
安全版本
Apache Skywalking = v8.4.0
5
漏洞复现与验证
SkyWalking中某Graphql接口存在SQL注入漏洞,可导致数据库信息泄漏。此漏洞配合H2数据库还会导致 RCE 漏洞。
腾讯安全团队已对此漏洞进行了复现,成功执行任意SQL语句。
6腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,Apache Skywalking组件主要应用在中国、美国、印度等地,中国占比最高(87.77%)、其次是美国(5.70%)、印度(1.55%)。在中国大陆地区,浙江、北京、上海、广东四省市位居前列,占比超过90%。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 [email protected] 了解产品详情。
7
漏洞修复建议
1、腾讯安全专家建议受影响的用户尽快升级Apache Skywalking到安全版本。
2、将默认的h2数据库替换为其它支持的数据库。
注:修复漏洞前请备份资料,并进行充分测试。
8
腾讯安全解决方案
1.腾讯T-Sec主机安全(云镜)已支持Apache Skywalking GraphQL注入与远程代码执行漏洞进行检测。
2.腾讯T-Sec漏洞扫描服务已支持检测全网资产是否存在Apache Skywalking GraphQL注入与远程代码执行漏洞,并提醒用户修复。
3.腾讯T-Sec云防火墙已支持对Apache Skywalking GraphQL注入与远程代码执行漏洞的检测和拦截。腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。
4.腾讯T-Sec Web应用防火墙已支持对Apache Skywalking GraphQL注入与远程代码执行漏洞的防护。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
参考链接:
https://skywalking.apache.org/events/release-apache-skywalking-apm-8-4-0/
https://github.com/apache/skywalking/releases/tag/v8.4.0
本文始发于微信公众号(腾讯安全威胁情报中心):Apache Skywalking GraphQL注入与远程代码执行漏洞风险通告,腾讯安全全面检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论