近日,騰訊藍軍(force.tencent.com)發現並向Apache SkyWalking官方團隊提交SQL注入漏洞(漏洞編號:CVE-2020-13921),目前官方已發布新版本修復該漏洞。
為避免您的業務受影響,騰訊雲安全建議您及時開展安全自查,如在受影響範圍,請您及時進行更新修復,避免被外部攻擊者入侵。
漏洞詳情
Apache SkyWalking 是一款應用性能監控(APM)工具,對微服務、雲原生和容器化應用提供自動化、高性能的監控方案。其官方網站顯示,大量的國內網際網路、銀行、民航等領域的公司在使用此工具。
在SkyWalking多個版本中,默認開放的未授權GraphQL接口,通過該接口,攻擊者可以構造惡意的請求包進行SQL注入,從而導致用戶資料庫敏感信息洩露。鑑於該漏洞影響較大,建議企業儘快修復。
風險等級
高風險
漏洞風險
通過SQL注入,攻擊者可以在伺服器上竊取敏感信息
影響版本
Apache SkyWalking 6.0.0~6.6.0
Apache SkyWalking 7.0.0
Apache SkyWalking 8.0.0~8.0.1
修復版本
Apache SkyWalking 8.1.0
修復建議
官方已發布新版本修復該漏洞,騰訊雲安全建議您:
推薦方案:升級到Apache SkyWalking 8.1.0或更新版本。
如暫時無法升級,作為緩解措施,建議不要將Apache SkyWalking的GraphQL接口暴露在外網,或在GraphQL接口之上增加一層認證。
推薦企業用戶採取騰訊安全產品檢測並攔截Apache SkyWalking SQL注入漏洞的攻擊。
騰訊安全解決方案
騰訊雲T-Sec Web應用防火牆已支持攔截防禦SkyWalking SQL注入漏洞攻擊。
點擊「閱讀原文」,訪問官方更新通告和升級連結:
https://github.com/apache/skywalking/releases/tag/v8.1.0