Apache DolphinScheduler高危漏洞的示例分析

本篇文章給大家分享的是有關(guān)Apache DolphinScheduler高危漏洞的示例分析，小編覺得挺實用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

1、Apache DolphinScheduler概述

Apache DolphinScheduler(Incubator,原Easy Scheduler)是一個分布式數(shù)據(jù)工作流任務(wù)調(diào)度系統(tǒng)，主要解決數(shù)據(jù)研發(fā)ETL錯綜復(fù)雜的依賴關(guān)系，而不能直觀監(jiān)控任務(wù)健康狀態(tài)等問題。Easy Scheduler以DAG流式的方式將Task組裝起來，可實時監(jiān)控任務(wù)的運行狀態(tài)，同時支持重試、從指定節(jié)點恢復(fù)失敗、暫停及Kill任務(wù)等操作。

以下是Apache DolphinScheduler架構(gòu)圖：

2、Apache DolphinScheduler系統(tǒng)圖

3、漏洞描述

9月11日，綠盟科技監(jiān)測到Apache軟件基金會發(fā)布安全公告，修復(fù)了ApacheDolphinScheduler權(quán)限覆蓋漏洞（CVE-2020-13922）與Apache DolphinScheduler遠程執(zhí)行代碼漏洞（CVE-2020-11974）。
CVE-2020-11974與mysql connectorj遠程執(zhí)行代碼漏洞有關(guān)，在選擇mysql作為數(shù)據(jù)庫時，攻擊者可通過jdbc connect參數(shù)輸入{“detectCustomCollations”:true，“ autoDeserialize”:true}在DolphinScheduler 服務(wù)器上遠程執(zhí)行代碼。
CVE-2020-13922導(dǎo)致普通用戶可通過api interface在DolphinScheduler 系統(tǒng)中覆蓋其他用戶的密碼：api interface /dolphinscheduler/users/update

4、影響范圍

Apache DolphinScheduler權(quán)限覆蓋漏洞（CVE-2020-13922）受影響版本? Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1不受影響版本? Apache DolphinScheduler >= 1.3.2
—————————————
Apache DolphinScheduler遠程執(zhí)行代碼漏洞（CVE-2020-11974）受影響版本? Apache DolphinScheduler = 1.2.0 1.2.1不受影響版本? Apache DolphinScheduler >= 1.3.1

5、修復(fù)建議

目前官方已在最新版本中修復(fù)了此次的漏洞，請受影響的用戶盡快升級版本至1.3.2進行防護，官方下載鏈接：https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html

以上就是Apache DolphinScheduler高危漏洞的示例分析，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。