234钱包

近日，，234钱包安全应急响应中心监测到Apache Skywalking官方颁布安全更新，，修复了1个SQL注入缝隙，，成功利用该缝隙可造成远程代码执行！

建议使用了Skywalking的用户尽快采取防护措施，，预防遭逢恶意攻击！

风险等级

高危

缝隙描述

Apache Skywalking 是一款开源的利用机能监控系统，，对微服务、、云原生和容器化利用提供自动化、、高机能的监控规划！

Apache SkyWalking的某GraphQL职能存在SQL注入缝隙，，攻击者能够机关恶意要求查问数据库敏感信息，，或利用H2数据库个性进一步造成远程代码执行缝隙！

影响版本

Apache Skywalking < v8.4.0

安全版本

Apache Skywalking v8.4.0

修复建议

1. 升级至安全版本

2. 将默认h2数据库代替为其他支持的数据库

如不方便升级，，也可通过白名单限度有关项目接见来降低缝隙风险！

参考链接

[1] https://github.com/apache/skywalking/releases/tag/v8.4.0

北京234钱包网络技术有限公司

2021/02/08