Apache DolphinScheduler高危漏洞
2020-09-11 00:00:00
9月11日����,金山云安全應急響應中心監(jiān)測到到Apache軟件基金會發(fā)布安全公告,修復了Apache DolphinScheduler權限覆蓋漏洞和遠程執(zhí)行代碼漏洞���。
攻擊者可利用這兩個漏洞實現(xiàn)權限提升與遠程代碼執(zhí)行�,危害較高,請相關用戶及時升級進行防護���,以保證資產安全����。
漏洞描述
Apache DolphinScheduler遠程執(zhí)行代碼漏洞
漏洞編號:CVE-2020-11974
該漏洞與mysql connectorj遠程執(zhí)行代碼漏洞有關����,在選擇mysql作為數(shù)據(jù)庫時,攻擊者可通過jdbc connect參數(shù)輸入{“detectCustomCollations”:true,”autoDeserialize”:true}在DolphinScheduler 服務器上遠程執(zhí)行代碼�。
Apache DolphinScheduler權限覆蓋漏洞
漏洞編號:CVE-2020-13922
該漏洞導致普通用戶可通過api interface在DolphinScheduler 系統(tǒng)中覆蓋其他用戶的密碼:api interface /dolphinscheduler/users/update。
風險等級
高危
影響版本
Apache DolphinScheduler權限覆蓋漏洞(CVE-2020-13922)
u Apache DolphinScheduler 1.2.0
u Apache DolphinScheduler 1.2.1
u Apache DolphinScheduler 1.3.1
Apache DolphinScheduler遠程執(zhí)行代碼漏洞(CVE-2020-11974)
u Apache DolphinScheduler 1.2.0
u Apache DolphinScheduler 1.2.1
修復建議
目前官方已在最新版本中修復了此次的漏洞����,請受影響的用戶盡快升級版本至1.3.2進行防護,官方下載鏈接:
https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html
參考鏈接
[1] https://www.mail-archive.com/announce@apache.org/msg06076.html
[2] https://www.mail-archive.com/announce@apache.org/msg06077.html
北京金山云網(wǎng)絡技術有限公司
2020/09/11