云安全日报210208：Apache SkyWalking性能监控系统发现

Apache SkyWalking是一款开源的应用性能监控系统，包括指标监控，分布式追踪，分布式系统性能诊断。

2021年1月23日,阿里蚂蚁安全非攻实验室向Apache官方报告了Apache Skyalking SQL注入与远程代码执行漏洞。2月4日, Apache Skyalking官方发布了安全更新，修复了蚂蚁安全非攻实验室发现上报的重要漏洞。2月7日,阿里云应急响应中心监测到 Apache Skyalking 官方发布安全更新修复该漏洞。

以下是漏洞详情

漏洞详情

来源https://help.aliyun./noticelist/articleid/1060803348.html?spm=a2c4g.789213612.n2.6.aa166141TBnfTd

Apache Skyalking GraphQL注入漏洞   严重程度高危

SQL注入即是指eb应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在eb应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

Apache SkyWalking的某GraphQL功能存在SQL注入漏洞，攻击者可以构造恶意请求查询数据库敏感信息，或利用H2数据库特性进一步造成远程代码执行漏洞。

受影响的产品版本

上述漏洞影响Apache Skyalking v8.4.0之前版本

解决方案

1、升级Apache Skyalking 到最新的 v8.4.0 版本。

2、将默认h2数据库替换为其它支持的数据库。

查看更多漏洞信息 以及升级请访问官网

https://github./apache/skyalking/releases/tag/v8.4.0?spm=a2c4g.11174386.n2.3.5a891051y1450a&file=v8.4.0