手机教育网

信息网首页|新闻|政务|考试|中招|资源|教研|博客|大赛|校园|作文|专题|录播课|视频|排行榜|网管|就业|调查|名师|班班通|E卡通
您当前的位置:首页>郑州网管>网管新闻
Apache ShardingSphere UI 远程代码执行风险通告CVE-2020-1947
发布日期:2020-03-16 ┆ 阅读次数:539

Sharding-UI是ShardingSphere的一个简单而有用的web管理控制台。它用于帮助用户更简单的使用ShardingSphere的相关功能,目前提供注册中心管理、动态配置管理、数据库编排等功能。在受影响的版本中,经过认证的用户可向Sharding-UI提交任意YAML代码导致远程代码执行。

【背景】

ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar(计划中)这3款相互独立的产品组成。均提供标准化的数据分片、分布式事务和数据库治理功能,可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。


ShardingSphere已经进入Apache孵化器,是京东集团首个进入Apache基金会的开源项目,也是Apache基金会首个分布式数据库中间件。

Sharding-UI是ShardingSphere的一个简单而有用的web管理控制台。它用于帮助用户更简单的使用ShardingSphere的相关功能,目前提供注册中心管理、动态配置管理、数据库编排等功能。

在受影响的版本中,经过认证的用户可向Sharding-UI提交任意YAML代码导致远程代码执行。


该漏洞是由国内某安全实验室提交给Apache的,在 ShardingSphere 4.0.1版本中被修复。

【漏洞详情】
默认账号密码是admin:admin。登录后台后,利用该漏洞可造成远程代码执行。复现后弹出计算器:

 
【风险等级】高危


【漏洞风险】
 远程代码执行

【影响版本】
Apache ShardingSphere < 4.0.1

【修复建议】
1. 升级Apache ShardingSphere 到  4.0.1 或以上版本。

2. 修改 application.properties中 默认的账号密码。


3.腾讯T-Sec网络资产风险检测系统(腾讯御知)已升级针对该漏洞的检测能力。

腾讯T-Sec网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。


企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)。


4.推荐企业用户部署腾讯安全T-Sec高级威胁检测系统(腾讯御界)检测黑客利用该漏洞对企业网络进行攻击。

腾讯安全T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。


详情请点击:https://cloud.tencent.com/product/nta


【参考链接】

https://www.cnblogs.com/potatsoSec/p/12461330.html  

关于我们 | 栏目介绍 | 联系我们 | 网站备案 | 教育网站导航
&copy; 2001 - 2013 版权所有:郑州教育信息网 地址:郑州市南阳路314号 邮编450053 豫ICP备10019805号-1
市教育局办公室:66976996 传真:66961519 信息中心:66955375 机房:66995447 传真:63951012