近日，騰訊藍軍（force.tencent.com）發(fā)現(xiàn)并向Apache SkyWalking官方團隊提交SQL注入漏洞（漏洞編號：CVE-2020-13921），目前官方已發(fā)布新版本修復(fù)該漏洞。

為避免您的業(yè)務(wù)受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

Apache SkyWalking 是一款應(yīng)用性能監(jiān)控（APM）工具，對微服務(wù)、云原生和容器化應(yīng)用提供自動化、高性能的監(jiān)控方案。其官方網(wǎng)站顯示，大量的國內(nèi)互聯(lián)網(wǎng)、銀行、民航等領(lǐng)域的公司在使用此工具。

在SkyWalking多個版本中，默認開放的未授權(quán)GraphQL接口，通過該接口，攻擊者可以構(gòu)造惡意的請求包進行SQL注入，從而導(dǎo)致用戶數(shù)據(jù)庫敏感信息泄露。鑒于該漏洞影響較大，建議企業(yè)盡快修復(fù)。

風險等級

高風險

漏洞風險

通過SQL注入，攻擊者可以在服務(wù)器上竊取敏感信息

影響版本

Apache SkyWalking 6.0.0~6.6.0

Apache SkyWalking 7.0.0

Apache SkyWalking 8.0.0~8.0.1

修復(fù)版本

Apache SkyWalking 8.1.0

修復(fù)建議

官方已發(fā)布新版本修復(fù)該漏洞，騰訊云安全建議您：

推薦方案：升級到Apache SkyWalking 8.1.0或更新版本。

如暫時無法升級，作為緩解措施，建議不要將Apache SkyWalking的GraphQL接口暴露在外網(wǎng)，或在GraphQL接口之上增加一層認證。

推薦企業(yè)用戶采取騰訊安全產(chǎn)品檢測并攔截Apache SkyWalking SQL注入漏洞的攻擊。

騰訊安全解決方案

騰訊云T-Sec Web應(yīng)用防火墻已支持攔截防御SkyWalking SQL注入漏洞攻擊。

點擊「閱讀原文」，訪問官方更新通告和升級鏈接：

https://github.com/apache/skywalking/releases/tag/v8.1.0

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！