Apache DolphinScheduler高危漏洞CVE-2020-11974及CVE-2020-13922的實例分析

本篇文章給大家分享的是有關Apache DolphinScheduler高危漏洞CVE-2020-11974及CVE-2020-13922的實例分析，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

一、漏洞概要

二、漏洞分析

2.1 Apache DolphinScheduler組件介紹

Apache DolphinScheduler(incubator,原EasyScheduler）是一個分布式工作流任務調度系統，主要解決數據研發ETL錯綜復雜的依賴關系，不能直觀監控任務健康狀態。DolphinScheduler以DAG流式的方式將Task組裝起來，可實時監控任務的運行狀態，同時支持重試、從指定節點恢復失敗、暫停及Kill任務等操作。

2.2 漏洞描述

9月11日Apache軟件基金會發布安全公告，修復了Apache DolphinScheduler權限覆蓋漏洞（CVE-2020-13922）與Apache DolphinScheduler遠程執行代碼漏洞（CVE-2020-11974）。

CVE-2020-11974與mysql connectorj遠程執行代碼漏洞有關，在選擇mysql作為數據庫時，攻擊者可通過jdbc connect參數輸入{“detectCustomCollations”:true，“autoDeserialize”:true} 在DolphinScheduler 服務器上遠程執行代碼。 CVE-2020-13922導致普通用戶可通過api interface在DolphinScheduler 系統中覆蓋其他用戶的密碼：api interface /dolphinscheduler/users/update。

三、影響范圍

Apache DolphinScheduler權限覆蓋漏洞（CVE-2020-13922）受影響版本：

Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1

Apache DolphinScheduler遠程執行代碼漏洞（CVE-2020-11974）受影響版本：

Apache DolphinScheduler = 1.2.0、1.2.1

四、解決方案

4.1 修復建議

目前廠商已在新版本修復漏洞：

補丁下載鏈接：

https://dolphinscheduler.apache.org/

Apache DolphinScheduler權限覆蓋漏洞（CVE-2020-13922）

用戶應升級到：

Apache DolphinScheduler >= 1.3.2

Apache DolphinScheduler遠程執行代碼漏洞（CVE-2020-11974）

用戶應升級到：

Apache DolphinScheduler >= 1.3.1

以上就是Apache DolphinScheduler高危漏洞CVE-2020-11974及CVE-2020-13922的實例分析，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。