黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過

    跳過將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 安全
    新聞分類

    Apache DolphinScheduler高危漏洞CVE-2020-13922

    安全 PRO 作者:李連玉 2023-06-28 17:14

    Apache DolphinScheduler(Incubator,原Easy Scheduler)是一個(gè)分布式數(shù)據(jù)工作流任務(wù)調(diào)度系統(tǒng),主要解決數(shù)據(jù)研發(fā)ETL錯(cuò)綜復(fù)雜的依賴關(guān)系,而不能直觀監(jiān)控任務(wù)健康狀態(tài)等問題。

    Easy Scheduler以DAG流式的方式將Task組裝起來,可實(shí)時(shí)監(jiān)控任務(wù)的運(yùn)行狀態(tài),同時(shí)支持重試、從指定節(jié)點(diǎn)恢復(fù)失敗、暫停及Kill任務(wù)等操作。

    以下是Apache DolphinScheduler架構(gòu)圖:

    Apache DolphinScheduler系統(tǒng)圖

    漏洞描述

    9月11日,綠盟科技監(jiān)測到Apache軟件基金會發(fā)布安全公告,修復(fù)了ApacheDolphinScheduler權(quán)限覆蓋漏洞(CVE-2020-13922)與Apache DolphinScheduler遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-11974)。

    CVE-2020-11974與mysql connectorj遠(yuǎn)程執(zhí)行代碼漏洞有關(guān),在選擇mysql作為數(shù)據(jù)庫時(shí),攻擊者可通過jdbc connect參數(shù)輸入{“detectCustomCollations”:true,“ autoDeserialize”:true}在DolphinScheduler 服務(wù)器上遠(yuǎn)程執(zhí)行代碼。

    CVE-2020-13922導(dǎo)致普通用戶可通過api interface在DolphinScheduler 系統(tǒng)中覆蓋其他用戶的密碼:api interface /dolphinscheduler/users/update

    影響范圍

    Apache DolphinScheduler權(quán)限覆蓋漏洞(CVE-2020-13922)受影響版本? Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1不受影響版本? Apache DolphinScheduler >= 1.3.2

    ?——————————————————————————————————

    Apache DolphinScheduler遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2020-11974)受影響版本? Apache DolphinScheduler = 1.2.0 1.2.1不受影響版本? Apache DolphinScheduler >= 1.3.1

    修復(fù)建議

    目前官方已在最新版本中修復(fù)了此次的漏洞,請受影響的用戶盡快升級版本至1.3.2進(jìn)行防護(hù),官方下載鏈接:https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

    *文章為作者獨(dú)立觀點(diǎn),不代表 0XUCN 立場
    本文由 李連玉發(fā)表,轉(zhuǎn)載此文章須經(jīng)作者同意,并請附上出處(0XUCN)及本頁鏈接。
    圖庫
    公眾號 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號
    隨時(shí)掌握互聯(lián)網(wǎng)精彩
    贊助鏈接