CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告
2020-03-30 18:33
1441 查看
CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告
360-CERT [360CERT](javascript:void(0)😉 昨天
0x01 漏洞背景
2020年3月11日,360CERT监测发现
ShardingSphere官方发布4.0.1版本的更新公告,当攻击者在后台管理处提交恶意 yaml ,会被解析从而造成代码执行
ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由
Sharding-JDBC、
Sharding-Proxy和
Sharding-Sidecar(计划中)这3款相互独立的产品组成。他们均提供标准化的数据分片、分布式事务和数据库治理功能,可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。
Apache ShardingSphere UI是
Apache ShardingSphere的图形界面版产品
0x02 风险等级
360CERT对该漏洞进行评定
360CERT建议广大用户及时更新
ShardingSphere。做好资产 自查/自检/预防 工作,以免遭受攻击。
0x03 影响版本
- Apache ShardingSphere&UI <= 4.0.0
0x04 漏洞证明
利用默认用户名密码进行登录
admin/admin
0x05 修复建议
临时修补方案:修改
/conf/application.properties的默认用户名密码
官方修补方案: 更新至最新版本,
https://github.com/apache/incubator-shardingsphere
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。
360AISA全流量威胁分析系统
360AISA基于360海量安全大数据和实战经验训练的模型,进行全流量威胁检测,实现实时精准攻击告警,还原攻击链。
目前产品具备该漏洞/攻击的实时检测能力。
0x07 时间线
2020-03-09 官方发布更新公告
2020-03-11 360CERT发布预警
0x08 参考链接
1.https://github.com/apache/incubator-shardingsphere/releases
- 点赞 5
- 收藏
- 分享
- 文章举报
相关文章推荐
- 【漏洞通告】VMware权限提升漏洞(CVE-2020-3950)通告
- 【漏洞通告】微软SMBv3协议远程代码执行漏洞(CVE-2020-0796)处置手册
- 【更新】CVE-2020-0796:微软紧急发布SMBv3协议“蠕虫级”漏洞补丁通告
- CVE-2020-1938:Apache Tomcat AJP连接器远程执行代码漏洞警报
- Apache Tomcat Ajp-CVE-2020-1938漏洞复现
- 更新:远程无损扫描工具公开发布| 微软Windows SMBv3服务远程代码执行漏洞(CVE-2020-0796)通告
- Apache Tomcat RCE if readonly set to false (CVE-2017-12617)
- Apache struts2远程命令执行_CVE-2017-9805(S2-052)漏洞复现
- Apache HTTP Server mod_dav.c 拒绝服务漏洞(CVE-2013-1896)
- Apache struts2 Freemarker标签远程命令执行_CVE-2017-12611(S2-053)漏洞复现
- Apache Struts 多个开放重定向漏洞(CVE-2013-2248)
- Apache Axis 跨站脚本漏洞(CVE-2018-8032)
- Apache struts2 namespace远程命令执行_CVE-2018-11776(S2-057)漏洞复现
- [我的CVE][CVE-2017-15708]Apache Synapse Remote Code Execution Vulnerability
- 【漏洞公告】CVE-2017-7669:Apache Hadoop远程权限提升漏洞
- Apache struts2 namespace远程命令执行_CVE-2018-11776(S2-057)漏洞复现
- 研究了下apache的漏洞CVE-2012-0053
- Apache Commons FileUpload不安全临时文件创建漏洞(CVE-2013-0248)
- [附POC]Apache Struts2最新(CVE-2017-5638,S02-45)POC
- Apache Hadoop远程权限提升漏洞(CVE-2018-8029)