8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

Apache Skywalking远程代码执行缝隙

颁布功夫 2021-02-07

0x00 缝隙概述

CVE ID		时间	2021-02-07
类型	RCE	等级	高危
远程利用	是	影响领域	Apache Skywalking < v8.4.0

0x01 缝隙详情

Apache SkyWalking是一个开源利用机能监控系统（APM），，，，，，，其重要针对微服务、云原生和面向容器的系统结构，，，，，，，支持指标监控、追踪、系统机能诊断职能。。。。。。。

2021年02月04日，，，，，，，Apache Skywalking官方颁布8.4.0更新布告，，，，，，，建复了Skywalking中的一个远程代码执行缝隙。。。。。。。

由于SkyWalking中的SQL注入缝隙（汗青追踪为CVE-2020-9483和CVE-2020-13921）的建复不够美满，，，，，，，仍存在一个SQL注入缝隙。。。。。。。攻击者能够通过机关恶意要求来查问数据库敏感信息，，，，，，，或通过利用H2数据库来远程执行代码。。。。。。。

截止目前，，，，，，，通过ZoomEye搜索，，，，，，，受该缝隙影响的网站和设备共194546598个，，，，，，，其中中国散布24334598，，，，，，，位居第二。。。。。。。

0x02 措置建议

目前该缝隙已被建复，，，，，，，建议升级至Apache Skywalking v8.4.0。。。。。。。

下载链接：

http://skywalking.apache.org/downloads/

0x03 参考链接

https://skywalking.apache.org/events/release-apache-skywalking-apm-8-4-0/

https://github.com/apache/skywalking/releases/tag/v8.4.0

0x04 功夫线

2021-02-04 SkyWalking团队颁布安全布告

2021-02-07 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】