百乐博

首页 > 清静研究 > 清静转达 > 清静通告

Apache Skywalking远程代码执行误差

宣布时间 2021-02-07

0x00 误差概述

CVE ID		时间	2021-02-07
类型	RCE	等级	高危
远程使用	是	影响规模	Apache Skywalking < v8.4.0

0x01 误差详情

Apache SkyWalking是一个开源应用性能监控系统（APM），，，，，，，其主要针对微效劳、云原生和面向容器的系统结构，，，，，，，支持指标监控、追踪、系统性能诊断功效。。。。。。。

2021年02月04日，，，，，，，Apache Skywalking官方宣布8.4.0更新通告，，，，，，，修复了Skywalking中的一个远程代码执行误差。。。。。。。

由于SkyWalking中的SQL注入误差（历史追踪为CVE-2020-9483和CVE-2020-13921）的修复不敷完善，，，，，，，仍保存一个SQL注入误差。。。。。。。攻击者可以通过结构恶意请求来盘问数据库敏感信息，，，，，，，或通过使用H2数据库来远程执行代码。。。。。。。

阻止现在，，，，，，，通过ZoomEye搜索，，，，，，，受该误差影响的网站和装备共194546598个，，，，，，，其中中国漫衍24334598，，，，，，，位居第二。。。。。。。

0x02 处置惩罚建议

现在该误差已被修复，，，，，，，建议升级至Apache Skywalking v8.4.0。。。。。。。

下载链接：

http://skywalking.apache.org/downloads/

0x03 参考链接

https://skywalking.apache.org/events/release-apache-skywalking-apm-8-4-0/

https://github.com/apache/skywalking/releases/tag/v8.4.0

0x04 时间线

2021-02-04 SkyWalking团队宣布清静通告

2021-02-07 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 百乐博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】