Apache DolphinScheduler高危漏洞的示例分析

本篇文章給大家分享的是有關Apache DolphinScheduler高危漏洞的示例分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

1、Apache DolphinScheduler概述

Apache DolphinScheduler(Incubator,原Easy Scheduler)是一個分布式數據工作流任務調度系統，主要解決數據研發ETL錯綜復雜的依賴關系，而不能直觀監控任務健康狀態等問題。Easy Scheduler以DAG流式的方式將Task組裝起來，可實時監控任務的運行狀態，同時支持重試、從指定節點恢復失敗、暫停及Kill任務等操作。

以下是Apache DolphinScheduler架構圖：

2、Apache DolphinScheduler系統圖

3、漏洞描述

9月11日，綠盟科技監測到Apache軟件基金會發布安全公告，修復了ApacheDolphinScheduler權限覆蓋漏洞（CVE-2020-13922）與Apache DolphinScheduler遠程執行代碼漏洞（CVE-2020-11974）。
CVE-2020-11974與mysql connectorj遠程執行代碼漏洞有關，在選擇mysql作為數據庫時，攻擊者可通過jdbc connect參數輸入{“detectCustomCollations”:true，“ autoDeserialize”:true}在DolphinScheduler 服務器上遠程執行代碼。
CVE-2020-13922導致普通用戶可通過api interface在DolphinScheduler 系統中覆蓋其他用戶的密碼：api interface /dolphinscheduler/users/update

4、影響范圍

Apache DolphinScheduler權限覆蓋漏洞（CVE-2020-13922）受影響版本? Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1不受影響版本? Apache DolphinScheduler >= 1.3.2
—————————————
Apache DolphinScheduler遠程執行代碼漏洞（CVE-2020-11974）受影響版本? Apache DolphinScheduler = 1.2.0 1.2.1不受影響版本? Apache DolphinScheduler >= 1.3.1

5、修復建議

目前官方已在最新版本中修復了此次的漏洞，請受影響的用戶盡快升級版本至1.3.2進行防護，官方下載鏈接：https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html

以上就是Apache DolphinScheduler高危漏洞的示例分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。