【安全通报】Apache ShardingSphere远程代码执行漏洞

aaa.png

近日,白帽汇安全研究院发现网络中公布了影响Apache ShardingSphere的高危漏洞,由奇安信的国内安全研究人员发现的。

Apache ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar这3款相互独立,却又能够混合部署配合使用的产品组成。它们均提供标准化的数据分片、分布式事务和数据库治理功能,可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。

危害等级

严重

漏洞原理

Apache ShardingSphere存在YAML解析远程代码执行漏洞(Apache ShardingSphere UI是Apache ShardingSphere的图形界面版产品,可用其进行验证),开发人员直接使用unmarshal方法对输入的YAML直接进行解析,没有做校验,攻击者在相应漏洞触发点输入payload即可完成攻击。(下图来自亚信安全)

cc.jpg

漏洞影响

Apache ShardingSphere < 4.0.1

CVE编号

CVE-2020-1947

修复建议

目前官方已发布安全更新,请管理员及时下载安装:https://github.com/apache/incubator-shardingsphere/releases

参考

[1] https://mp.weixin.qq.com/s/Rmi0n_FrUi4G3-qzwnWL8w

[2] http://shardingsphere.apache.org/index_zh.html

[3] https://mp.weixin.qq.com/s/c5apSZQEDgN3rfbAjNQqhA

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐