正文 

当前位置: 首页 > 代码 > java教程

安全通报dolphinscheduler漏洞情况说明及处理

代立冬 代立冬     2022-12-12     385

关键词:

Apache DolphinScheduler 社区邮件列表最近通告了 2 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情况说明:

CVE-2020-11974[1]

漏洞 (CVE-2020-11974[1]) 是与 mysql connectorj 远程执⾏代码漏洞有关,mysql connectorj 漏洞详情请参见:

https://securityonline.info/mysql-connectorj-remote-code-execution-vulnerability/

当选择 MySQL 作为DolphinScheduler 的数据库时,攻击者可通过 jdbc connector 输入参数 “detectCustomCollations”:true,“autoDeserialize”:true 攻击 API Server 服务执行远程代码

影响版本:1.2.0、 1.2.1

修复建议:如果使用 MySQL 作为数据库的伙伴,建议升级到 >=1.3.2 版本同时 MySQL 驱动请选择 >=5.1.41 版本

另如果目前暂不能升级的情况下,可以利用防火墙等技术禁止不明IP访问 API Server 服务所在的 IP 亦可以

备注:此漏洞 mysql connectorj 漏洞不仅影响到 DolphinScheduler 项目,所有您使用到 MySQL 作为数据库的项目都应关注此 mysql connector 漏洞。没有使用 MySQL 的伙伴可以忽略

CVE-2020-13922[2]

漏洞 (CVE-2020-13922[2]) 是 DolphinScheduler 的权限覆盖漏洞,致普通⽤户可通过 API 接口覆盖其他⽤户(包括管理员)的密码,通过 API 接口:/dolphinscheduler/users/update 和参数形如
id=1&userName=xxx&userPassword=xxx&tenantId=xxx等参数 覆盖其他用户的密码

影响版本:1.2.0、1.2.1、1.3.1

修复建议:升级到 >= 1.3.2版本
如果暂时不能升级,请限制为只有管理员机器 IP 可以访问以下路径 API 服务路径:

/dolphinscheduler/users/update
/dolphinscheduler/access-token/create
/dolphinscheduler/access-token/update
/dolphinscheduler/access-token/generate

此外 DolphinScheduler 社区一名热心伙伴非常及时提供了修复后的 1.2.0 和 1.2.1 的漏洞补丁包,直接进行替换 dolphinscheduler-api.jar 也是可行办法,下载地址为:

https://github.com/DSExtension/DSCVE-2020-13922

特别感谢

特别感谢漏洞发现者:来自奇安信的伍雄同学和来自数梦工场的许祥同学,他们不仅提供了漏洞的还原过程,也提供了对应的解决办法。整个过程呈现的是十分专业的安全人员的技能和高素质,为中国还有一批这样的白帽子伙伴守护项目的安全而感到骄傲

也十分感谢国内的安全公司及时通知他们的客户注意漏洞防护,其中⽩帽汇监控到对外网开放的也竟然有多达 72 个 DolphinScheduler 服务。再次非常有必要进行强调:十分感谢有如此多的用户将 Apache DolphinScheduler 选型为其公司的大数据任务调度,但必须要提醒的是调度系统属于大数据建设中核心基础设施,请不要将其暴露在外网中。如果必须对外开放,也请做好 IP 防护等必要的安全措施。下文来自⽩帽汇文件

根据⽬前FOFA系统最新数据(⼀年内数据),显示全球范围(title=“DolphinScheduler”)共有 72 个相关服务对外开放。中国使⽤数量最多,共有 69 个;美国第⼆,共有 2 个。中国⼤陆地区浙江使⽤数量最多,共有 48 个;北京第⼆,共有 8 个;湖北第三,共有 1 个。(此仅为分布情况,⾮漏洞影响情况)

迄今为止,Apache DolphinScheduler(incubator) 社区已经有近 130 位代码贡献者,30 多位非代码贡献者。非常欢迎更多伙伴也能参与到开源社区建设中来,为建造一个更加稳定安全可靠的大数据任务调度系统而努力,同时也为中国开源崛起献上自己的一份力量!

如果对漏洞有任何疑问,欢迎关注Apache DolphinScheduler 微信公众号“海豚调度”参与讨论,竭诚解决大家的疑虑

参考:
1.https://lists.apache.org/thread.html/rcbe4c248ef0c566e99fd19388a6c92aeef88167286546b675e9b1769%40%3Cdev.dolphinscheduler.apache.org%3E

2.https://lists.apache.org/thread.html/rf52404d4318a080ef7c4942d8eea6ea27fb2eb9018b4d4037331c825%40%3Cdev.dolphinscheduler.apache.org%3E

为啥说addjavascriptinterface漏洞

参考技术A楼主你好建议安全软件查看修复试试腾讯电脑管家,杀毒+管理2合1,还可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外。自... 查看详情

记录一次勒索病毒漏洞扫描发现过程

...的Wannacry(永恒之蓝)勒索蠕虫攻击,今天国家网络与信息安全信息通报中心发布紧急通报。通报称,“我国部分Windows系列操作系统用户已经遭到 查看详情

窃听空调?火灾插座?瞎眼电灯?-物联网设备真成当今网络大问题

我们昨天转发了来自国家信息安全漏洞库(CNNVD)的安全通报,安全通报中提到了关于DYN网络攻击事件的源头,那就是物联网设备。关于物联网设备安全漏洞引发大规模网络攻击事件的通报而关于物联网设备,我们在刚刚结束不... 查看详情

国家网络与信息安全中心紧急通报:请升级安装补丁!

新浪科技讯5月13日下午消息,国家网络与信息安全信息通报中心紧急通报:2017年5月12日20时左右,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染,我国部分Windows系列操作系统用... 查看详情

muma很可能在陪你玩游戏

...品通过其升级组件DTLUpg.exe,开始下发执行程序。当晚360安全大脑就向驱动人生通报了相关情况,也停止下发。感染了本次病毒的用户电脑会变得进程缓慢,卡顿感十足,因为很有可能你的电脑此时正常帮助***挖矿门罗币。截止... 查看详情

嵌入式设备安全:网络安全的盲区和雷区

...炸式增长的时代。 然而, 嵌入式系统潜在的严重安全隐患却并没有引起足够的重视。 可以说, 嵌入式安全是目前网络安全领域的“盲区”和“雷区”。  嵌入式系统的安全现状和上世纪90年代PC安全的情况有... 查看详情

电脑有漏洞,修还是不修,听别人说不要修,会使电脑运行速度变慢,是真的吗

...定义中文名称:漏洞英文名称:hole 定义:系统中的安全缺陷。漏洞可以导致入侵者获取信息并导致不正确的访问。 应用学科:通信科技(一级学科);网络安全(二级学科) 以上内容由全国科学技术名词审定委员... 查看详情

阿里云因发现log4j2核弹级漏洞,未及时上报,被工信部处罚。。

最近工信部也发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_d0cd32999d9941209ba9358a2e62638c.html全文如下:阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架... 查看详情

阿里云因发现log4j2核弹级漏洞,未及时上报,被工信部处罚。。

最近工信部也发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_d0cd32999d9941209ba9358a2e62638c.html全文如下:阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架... 查看详情

阿里云出事了,被工信部处罚,它真不冤,但也别慌

...。阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。这件事... 查看详情

如何临时规避安全扫描的高危漏洞

信息中心对机房服务器进行安全扫描,短期内如何规避高危漏洞,在不影响线上业务的情况下通过安全扫描?问题及风险描述系统进行安全扫描,扫描出windous服务器和linux服务器皆存在高危漏洞。需要在短时间内进行修复,并且... 查看详情

docker容器中的服务无法访问,网络不通报noroutetohost的解决方案(代码片段)

...暴力的做法,直接一条命令关闭防火墙即可,不安全命令:systemctlstopfirewalld&systemctldisablefirewalld在防火墙中配置开放的端口,安全但是配置麻烦②linux内核版本过低docker网络通信要求 查看详情

苹果修复macos12.3.1monterey漏洞,但bigsur/catalina未修复

...留下了漏洞,还未修复。macOSMonterey12.3.1更新修复了两个安全缺陷,包括一个AppleAVD问题,可能允许应用程序以内核权限执行任意代码,以及一个英特尔图形驱动问题,可能允许应用程序读取内核内存。苹果公司说,此前有报告说... 查看详情

jquerycve-2019-11358原型污染漏洞分析和修复建议(代码片段)

一、安全通告jQuery官方于日前发布安全预警通告,通报了漏洞编号为CVE-2019-11358的原型污染漏洞。由攻击者控制的属性可被注入对象,之后或经由触发JavaScript异常引发拒绝服务,或篡改该应用程序源代码从而强制执行攻击者注入... 查看详情

泸州通报初中生死亡尸检情况:无其他暴力形成外伤

,假新闻搅动大选德国立法说“不”,晕鸥然程哦,台千人上街“扫黄”吁罢免反服贸头子黄国昌斥其让社会变淫乱,芭现砍私圆,瑞典警方逮捕卡车袭击案两名嫌疑人,朗狈峭蹲缎,马云演讲让挪威企业high了,董明珠回应银隆二股东身... 查看详情

票务实施中的潜在安全漏洞

】票务实施中的潜在安全漏洞【英文标题】:Potentialsecurityvulnerabilitiesinaticketingimplementation【发布时间】:2019-02-0821:51:41【问题描述】:我正在尝试集思广益这种场景的潜在安全漏洞(顺便说一句,我已经提出了一个相关问题sever... 查看详情

阿里云因发现log4j2核弹级漏洞,未及时上报,被工信部处罚。。

...!》最近工信部也发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_d0cd32999d9941209ba9358a2e62638c.html全文如下:阿帕奇(Apache)Log4j2组件是基于Java语言的开源日... 查看详情

阿里云因发现log4j2核弹级漏洞,未及时上报,被工信部处罚。。

...!》最近工信部也发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_d0cd32999d9941209ba9358a2e62638c.html全文如下:阿帕奇(Apache)Log4j2组件是基于Java语言的开源日... 查看详情