聲明：該文章由作者（李連玉）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

Apache DolphinScheduler(Incubator,原Easy Scheduler)是一個分布式數(shù)據(jù)工作流任務(wù)調(diào)度系統(tǒng)，主要解決數(shù)據(jù)研發(fā)ETL錯綜復(fù)雜的依賴關(guān)系，而不能直觀監(jiān)控任務(wù)健康狀態(tài)等問題。

Easy Scheduler以DAG流式的方式將Task組裝起來，可實時監(jiān)控任務(wù)的運行狀態(tài)，同時支持重試、從指定節(jié)點恢復(fù)失敗、暫停及Kill任務(wù)等操作。

以下是Apache DolphinScheduler架構(gòu)圖：

Apache DolphinScheduler系統(tǒng)圖

漏洞描述

9月11日，綠盟科技監(jiān)測到Apache軟件基金會發(fā)布安全公告，修復(fù)了ApacheDolphinScheduler權(quán)限覆蓋漏洞（CVE-2020-13922）與Apache DolphinScheduler遠程執(zhí)行代碼漏洞（CVE-2020-11974）。

CVE-2020-11974與mysql connectorj遠程執(zhí)行代碼漏洞有關(guān)，在選擇mysql作為數(shù)據(jù)庫時，攻擊者可通過jdbc connect參數(shù)輸入{“detectCustomCollations”:true，“ autoDeserialize”:true}在DolphinScheduler 服務(wù)器上遠程執(zhí)行代碼。

CVE-2020-13922導(dǎo)致普通用戶可通過api interface在DolphinScheduler 系統(tǒng)中覆蓋其他用戶的密碼：api interface /dolphinscheduler/users/update

影響范圍

Apache DolphinScheduler權(quán)限覆蓋漏洞（CVE-2020-13922）受影響版本? Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1不受影響版本? Apache DolphinScheduler >= 1.3.2

?——————————————————————————————————

Apache DolphinScheduler遠程執(zhí)行代碼漏洞（CVE-2020-11974）受影響版本? Apache DolphinScheduler = 1.2.0 1.2.1不受影響版本? Apache DolphinScheduler >= 1.3.1

修復(fù)建議

目前官方已在最新版本中修復(fù)了此次的漏洞，請受影響的用戶盡快升級版本至1.3.2進行防護，官方下載鏈接：https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/