Apache SkyWalking是一款开源的应用性能监控系统,包括指标监控,分布式追踪,分布式系统性能诊断。
2021年1月23日,阿里蚂蚁安全非攻实验室向Apache官方报告了Apache Skywalking SQL注入与远程代码执行漏洞。2月4日, Apache Skywalking官方发布了安全更新,修复了发现上报的重要漏洞。2月7日,阿里云应急响应中心监测到 Apache Skywalking 官方发布安全更新修复该漏洞。
以下是漏洞详情:
漏洞详情
Apache Skywalking GRaphQL注入漏洞 严重程度:高危
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
Apache SkyWalking的某GRaphQL功能存在SQL注入漏洞,攻击者可以构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行漏洞。
受影响的产品版本
上述漏洞影响Apache Skywalking v8.4.0之前版本
解决方案
1、升级Apache Skywalking 到最新的 v8.4.0 版本。
2、将默认h2数据库替换为其它支持的数据库。
查看更多漏洞信息 以及升级请访问官网:
https://Github.coM/Apache/skywalking/Releases/tag/v8.4.0?spM=a2c4g.11174386.n2.3.5a891051y1450a&aMp;file=v8.4.0