【安全通报】Apache ShardingSphere远程代码执行漏洞
近日,白帽汇安全研究院发现网络中公布了影响Apache ShardingSphere的高危漏洞,由奇安信的国内安全研究人员发现的。
Apache ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar这3款相互独立,却又能够混合部署配合使用的产品组成。它们均提供标准化的数据分片、分布式事务和数据库治理功能,可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。
危害等级
严重
漏洞原理
Apache ShardingSphere存在YAML解析远程代码执行漏洞(Apache ShardingSphere UI是Apache ShardingSphere的图形界面版产品,可用其进行验证),开发人员直接使用unmarshal方法对输入的YAML直接进行解析,没有做校验,攻击者在相应漏洞触发点输入payload即可完成攻击。(下图来自亚信安全)
漏洞影响
Apache ShardingSphere < 4.0.1
CVE编号
CVE-2020-1947
修复建议
目前官方已发布安全更新,请管理员及时下载安装:https://github.com/apache/incubator-shardingsphere/releases
参考
[1] https://mp.weixin.qq.com/s/Rmi0n_FrUi4G3-qzwnWL8w
[2] http://shardingsphere.apache.org/index_zh.html
[3] https://mp.weixin.qq.com/s/c5apSZQEDgN3rfbAjNQqhA
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论