apache相关漏洞
本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳
CVE-2019-17564-Apache Dubbo反序列化漏洞
CVE-2020-1938-Apache Tomcat文件包含漏洞
CVE-2020-1948-Apache Dubbo反序列化漏洞
CVE-2020-1956-Apache Kylin远程命令执行漏洞
CVE-2020-9480-Apache Spark远程代码执行漏洞
CVE-2020-9483-Apache SkyWalkingSQL注入漏洞
CVE-2020-9484-Apache Tomcat session持久化远程代码执行漏洞
CVE-2020-9498-Apache Guacamole RDP 远程代码执行漏洞
CVE-2020-11974、CVE-2020-13922 Apache DolphinScheduler远程代码执行漏洞
CVE-2020-11989-Apache Shiro身份验证绕过漏洞
CVE-2020-11991 Apache Cocoon XML外部实体注入漏洞
CVE-2020-11995-Apache Dubbo远程代码执行漏洞
CVE-2020-13920 Apache ActiveMQ 远程代码执行漏洞
CVE-2020-13921-Apache SkyWalking SQL注入漏洞
CVE-2020-13925-Apache Kylin 远程命令执行漏洞
CVE-2020-13933-Apache Shiro 权限绕过漏洞
CVE-2020-13948 Apache Superset 远程代码执行漏洞
1、CVE-2019-17564-Apache Dubbo反序列化漏洞
漏洞概述
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。若存在漏洞的Apache Dubbo启用了HTTP协议(支持多协议),则攻击者可以通过发送恶意反序列化数据实现远程代码执行。
影响范围
• 2.7.0 <= Apache Dubbo <= 2.7.4
• 2.6.0 <= Apache Dubbo <= 2.6.7
• Apache Dubbo = 2.5.x
修复建议
目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。
2、CVE-2020-1938-Apache Tomcat文件包含漏洞
漏洞概述
Ghostcat (幽灵猫) 是由长亭科技安全研究人员发现的存在于Tomcat 中的安全漏洞,由于Tomcat AJP 协议设计上存在缺陷,攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat 上所有webapp 目录下的任意文件,例如可以读取webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
详情分析可参考:https://www.guildhab.top/?p=2406
影响范围
• Apache Tomcat 9.x < 9.0.31
• Apache Tomcat 8.x < 8.5.51
• Apache Tomcat 7.x < 7.0.100
• Apache Tomcat 6.x
poc&检测工具:
https://github.com/0nise/CVE-2020-1938
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
https://www.chaitin.cn/zh/ghostcat#online_test
https://github.com/chaitin/xray/releases
修复建议
更新到如下Tomcat 版本
Tomcat 分支 版本号
Tomcat 7 7.0.106
Tomcat 8 8.5.58
Tomcat 9 9.0.38
Apache Tomcat 6 已经停止维护,请升级到最新受支持的 Tomcat 版本以免遭受漏洞影响。
参考链接
https://www.chaitin.cn/zh/ghostcat
3、CVE-2020-1948-Apache Dubbo反序列化漏洞
漏洞概述
Apache Dubbo是一种高性能的Java RPC框架。扩展存在于Apache Dubbo通过使用的反序列化工具hessian中,攻击者可能会通过发送恶意RPC请求来触发触发,此类RPC请求中通常会无法识别的服务名或方法名,以及一些恶意的参数负载。当恶意参数被反序列化时,达到代码执行的目的。
影响范围
2.7.0 <= Dubbo Version <= 2.7.62.6.0 <= Dubbo Version <= 2.6.7Dubbo 所有 2.5.x 版本(官方团队目前已不支持)
修复建议
升级 2.7.7 版本,并根据以下链接的方法进行参数校验
https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de
更换协议以及反序列化方式。具体更换方法可参考:
http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
参考链接
https://www.anquanke.com/post/id/209251#h2-23
4、CVE-2020-1956-Apache Kylin远程命令执行漏洞
漏洞概述
Apache Kylin是Apache软件基金会的一款开源的、分布式的分析型数据仓库,主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)能力,以支持超大规模数据。
2020年5月28日,Apache Kylin官方发布安全公告,修复了一个Apache Kylin的远程命令执行漏洞(CVE-2020-1956)。在Kylin中存在一些restful API,可以将操作系统命令与用户输入的字符串连接起来,由于未对用户输入内容做合理校验,导致攻击者可以在未经验证的情况下执行任意系统命令。
影响范围
受影响版本:
• Kylin 2.3.0 – 2.3.2
• Kylin 2.4.0 – 2.4.1
• Kylin 2.5.0 – 2.5.2
• Kylin 2.6.0 – 2.6.5
• Kylin 3.0.0-alpha
• Kylin 3.0.0-alpha2
• Kylin 3.0.0-beta
• Kylin 3.0.0 – 3.0.1
不受影响版本:
• Kylin = 2.6.6
• Kylin = 3.0.2
修复建议
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
下载地址:https://kylin.apache.org/download/
缓解措施:将kylin.tool.auto-migrate-cube.enabled设置为false以禁用命令执行。
参考链接
https://nosec.org/home/detail/4467.html
https://kylin.apache.org/docs/security.html
https://paper.seebug.org/1237/
5、CVE-2020-9480-Apache Spark远程代码执行漏洞
漏洞概述
Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。Apache Spark的独立资源管理器的主服务器可以通过配置共享密钥进行认证(spark.authenticate),然而,由于Spark的认证机制存在缺陷,导致共享密钥认证失效。攻击者利用该漏洞,可在未授权的情况下,在主机上执行命令,造成远程代码执行。
影响范围
• Apache Spark < = 2.4.5
修复建议
目前官方已发布漏洞修复版本,下载地址:
https://github.com/apache/spark/releases
6、CVE-2020-9483-Apache SkyWalkingSQL注入漏洞
漏洞概述
Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。
远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。鉴于该漏洞影响较大,建议客户尽快自查修复。
影响范围
• 6.0.0 <= Apache SkyWalking <= 6.6.0
• 7.0.0
修复建议
官方发布的最新版本已经修复了此漏洞,请受影响的用户下载最新版本。
下载链接:https://github.com/apache/skywalking/releases
7、CVE-2020-9484-Apache Tomcat session持久化远程代码执行漏洞
漏洞概述
2020年5月20日,Apache Tomcat官方发布安全公告,披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。
攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件:
1.攻击者能够控制服务器上文件的内容和名称
2.服务器PersistenceManager配置中使用了FileStore
3.服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL,或者使用了其他较为宽松的过滤器,允许攻击者提供反序列化数据对象
4.攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。
影响范围
影响版本
Apache Tomcat 10.x < 10.0.0-M5
Apache Tomcat 9.x < 9.0.35
Apache Tomcat 8.x < 8.5.55
Apache Tomcat 7.x < 7.0.104
不受影响版本
Apache Tomcat 10.x >= 10.0.0-M5
Apache Tomcat 9.x >= 9.0.35
Apache Tomcat 8.x >= 8.5.55
Apache Tomcat 7.x >= 7.0.104
修复建议
升级Apache Tomcat至不受影响版本
禁止使用Session持久化功能FileStore
8、CVE-2020-9498-Apache Guacamole RDP 远程代码执行漏洞
漏洞概述
Apache Guacamole是一款用于远程访问和管理Windows和Linux的流行远程桌面应用程序。Apache Guacamole 1.1.0及之前版本存在反向RDP远程代码执行漏洞。该漏洞源于该应用错误的处理了通过RDP静态虚拟通道接收的数据所涉及的指针。远程攻击者可利用该漏洞通过特制的PDU并在目标系统上执行任意代码。
详情参考:https://guacamole.apache.org/security/
影响范围
• Apache Guacamole < 1.2.0
修复建议
Apache Guacamole 已在1.2.0版本中修复此漏洞,建议受影响用户将Guacamole升级到安全版本。
下载地址:https://guacamole.apache.org/releases/1.2.0/
9、CVE-2020-11974、CVE-2020-13922 Apache DolphinScheduler远程代码执行漏洞
Apache DolphinScheduler概述
Apache DolphinScheduler(Incubator,原Easy Scheduler)是一个分布式数据工作流任务调度系统,主要解决数据研发ETL错综复杂的依赖关系,而不能直观监控任务健康状态等问题。Easy Scheduler以DAG流式的方式将Task组装起来,可实时监控任务的运行状态,同时支持重试、从指定节点恢复失败、暂停及Kill任务等操作。
漏洞描述
9月10日,Apache软件基金会发布安全公告,修复了ApacheDolphinScheduler权限覆盖漏洞(CVE-2020-13922)与Apache DolphinScheduler远程执行代码漏洞(CVE-2020-11974)。
CVE-2020-11974与mysql connectorj远程执行代码漏洞有关,在选择mysql作为数据库时,攻击者可通过jdbc connect参数输入{“detectCustomCollations”:true,“ autoDeserialize”:true} 在DolphinScheduler 服务器上远程执行代码。
CVE-2020-13922导致普通用户可通过api interface在DolphinScheduler 系统中覆盖其他用户的密码:api interface /dolphinscheduler/users/update
影响范围
Apache DolphinScheduler权限覆盖漏洞(CVE-2020-13922)
受影响版本
•Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1
不受影响版本
•Apache DolphinScheduler >= 1.3.2
Apache DolphinScheduler远程执行代码漏洞(CVE-2020-11974)
受影响版本
•Apache DolphinScheduler = 1.2.0 1.2.1
不受影响版本
•Apache DolphinScheduler >= 1.3.1
修复建议
目前官方已在最新版本中修复了此次的漏洞,请受影响的用户尽快升级版本至1.3.2进行防护,官方下载链接:https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html
10、CVE-2020-11989-Apache Shiro身份验证绕过漏洞
漏洞概述
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Apache Shiro 1.5.3之前版本,由于Shiro拦截器与requestURI的匹配流程和Web框架的拦截器的匹配流程有差异,攻击者构造一个特殊的http请求,可以绕过Shiro的认证,未授权访问敏感路径。此漏洞存在两种攻击方式。
影响范围
Apache Shiro 1.5.3之前的版本
Spring 框架中只使用 Shiro 鉴权
修复建议
Apache Shiro最新版本已经修复此漏洞,请受漏洞影响的用户下载最新版本, 下载链接:http://shiro.apache.org/download.html
11、CVE-2020-11991 Apache Cocoon XML外部实体注入漏洞
漏洞简介
9月11日 Apache 软件基金会发布安全公告,修复了 Apache Cocoon xml外部实体注入漏洞(CVE-2020-11991)。
Apache Cocoon 是一个基于 Spring 框架的围绕分离理念建立的构架,在这种框架下的所有处理都被预先定义好的处理组件线性连接起来,能够将输入和产生的输出按照流水线顺序处理。
用户群:Apache Lenya、Daisy CMS、Hippo CMS、Mindquarry等等,Apache Cocoon 通常被作为一个数据抽取、转换、加载工具或者是系统之间传输数据的中转站。
CVE-2020-11991 与 StreamGenerator 有关,在使用 StreamGenerator 时,代码将解析用户提供的 xml。攻击者可以使用包括外部系统实体在内的特制 xml 来访问服务器系统上的任何文件。
影响范围
• Apache Cocoon <= 2.1.12
漏洞利用
漏洞利用条件有限,必须是apacheCocoon且使用了StreamGenerator,也就是说只要传输的数据被解析就可以实现了。
]>John &ent;
修复建议
建议立即升级到最新版本:Apache Cocoon 2.1.13
下载链接:https://cocoon.apache.org/
12、CVE-2020-11995-Apache Dubbo远程代码执行漏洞
漏洞描述
ApacheDubboHessian2协议处理模块中存在一个反序列化漏洞,该漏洞中Hessian2反序列化HashMap对象时,该类中的一些函数在经过一系列调用时可以进行代码执行。例如EqualBean中的HashCode方法,通过构造一些特殊的请求,可以使其加载远程恶意类并执行远程代码。
详情可参考https://www.secpulse.com/archives/138771.html
影响范围
Apache Dubbo 2.7.0 - 2.7.7
Apache Dubbo 2.6.0 - 2.6.8
Apache Dubbo 2.5.x
修复建议
Apache Dubbo 新的版本已经防御此漏洞,请受漏洞影响的用户更新到2.6.9或者2.7.8及以后,下载链接:
https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8
13、CVE-2020-13920 Apache ActiveMQ 远程代码执行漏洞
Apache AcitveMQ概述
Apache ActiveMQ™是最流行的开源,多协议,基于Java的消息传递服务器。它支持行业标准协议,因此用户可以通过广泛的语言和平台从客户选择中受益。可以使用C,C ++,Python,.Net等进行连接。使用无处不在的AMQP协议集成您的多平台应用程序。在Websocket上使用STOMP在Web应用程序之间交换消息。使用MQTT管理您的IoT设备。支持您现有的JMS基础结构及其他。ActiveMQ提供了强大的功能和灵活性来支持任何消息传递用例。
漏洞简介
Apache ActiveMQ使用“LocateRegistry.createRegistry()”创建JMX RMI注册表。
攻击者可能在没有身份验证的情况下连接到此注册表,并调用“LocateRegistry.createRegistry()”重新创建注册表,可将JMX RMI绑定在由攻击者控制的恶意的代理节点上,导致中间人攻击。
影响范围
Apache ActiveMQ < 5.15.12
修复建议
升级到Apache ActiveMQ 5.15.12
参考链接
https://lists.apache.org/thread.html/r8fd6ce52093153599e3e489ee0c9cfbc1e55665451d3a0f2fd2933e7%40%3Ccommits.activemq.apache.org%3E
14、CVE-2020-13921-Apache SkyWalking SQL注入漏洞
漏洞概述
近日Apache SkyWalking官方发布了最新的SkyWalking 8.1.0版本,修复了一个SQL注入漏洞(CVE-2020-13921)。在SkyWalking多个版本中,默认开放未授权GraphQL接口,当H2/MySQL/TiDB用作Apache SkyWalking存储时,攻击者可构造通配符查询语句进行SQL注入,从而导致用户的数据库敏感信息泄露。
影响范围
Apache SkyWalking 6.0.0~6.6.0
Apache SkyWalking 7.0.0
Apache SkyWalking 8.0.0~8.0.1
修复建议
目前厂商已在SkyWalking 8.1.0版本修复该漏洞,参考链接:
https://github.com/apache/skywalking/releases
15、CVE-2020-13925-Apache Kylin 远程命令执行漏洞
Apache Kylin概述
Apache Kylin 最早由 eBay 于 2013 创建并且开源,2015 年成为 Apache 基金会的顶级项目。他是目前大数据领域应用非常广泛的开源分布式的分析型数据仓库,能够提供提供Hadoop/Spark 之上的 SQL 查询接口及多维分析(OLAP)能力。近年来,大数据行业方兴未艾,Apache Kylin被国内外的很多大型互联网企业广泛应用,被业界称为大数据分析界的“神兽”。
漏洞描述
Kylin 系统提供了一个前后端分离的 WEB UI,用户可以在上面管理项目、创建模型、分析数据等。
系统提供了一组系统诊断接口,用于在发生故障时获取项目、任务、操作系统的诊断信息,方便调试。
漏洞在于其中两个接口没有对输入参数做安全检查,并且在后续使用过程中拼接到了一个字符串中作为系统命令执行。黑客可以通过构造恶意参数值调用该接口,实现远程执行任意系统命令,获得运行 Apache Kylin 系统的操作系统账号权限。
调用这个两个漏洞接口,需要有账号能够登陆 WEB 系统,但因为该 WEB 系统在安装完成后或部署 docker 容器后会有一个默认管理员账号 admin,并且会设置固定的默认密码 “KYLIN”,如果管理员没有特意修改,则黑客可以直接登陆并利用漏洞。也可能被通过其他方式得到账号或Session的黑客或内鬼利用获得更高权限。
因为 Apache Kylin 是一个大数据分析平台,需要连接数据源,可能在一些大型企业内直接接触核心数据,如果被黑客攻破,会造成很高的数据安全风险。
影响范围
Apache Kylin 2.3.0 ~ 2.3.2
Apache Kylin 2.4.0 ~ 2.4.1
Apache Kylin 2.5.0 ~ 2.5.2
Apache Kylin 2.6.0 ~ 2.6.6
Apache Kylin 3.0.0-alpha, Apache Kylin 3.0.0-alpha2, Apache Kylin 3.0.0-beta, Apache Kylin 3.0.0, Kylin 3.0.1, Kylin 3.0.2
修复建议
升级 Apache Kylin 系统到最新版本。
• https://github.com/apache/kylin/releases
• https://hub.docker.com/r/apachekylin/apache-kylin-standalone/tags
参考链接
https://www.anquanke.com/post/id/210867
16、CVE-2020-13933-Apache Shiro 权限绕过漏洞
Shiro概述
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
漏洞描述
Apache Shiro的CVE-2020-11989修补补丁依旧存在缺陷,由于shiro和spring在处理url中仍然存在差别,通过构造特殊的HTTP请求,可以再次绕过授权,访问未授权的信息。
影响范围
Apache Shiro < 1.6.0
修复建议
Apache Shiro最新版本已经修复此漏洞,请受漏洞影响的用户下载最新版本,下载链接:http://shiro.apache.org/download.html
参考链接
详情请看https://www.freebuf.com/vuls/247308.html
17、CVE-2020-13948 Apache Superset 远程代码执行漏洞
Apache Superset概述
Apache Superset 是Airbnb公司开源的数据分析与可视化平台,可自助分析、自定义仪表盘、分析结果可视化(导出)、用户/角色权限控制,还集成SQL编辑器,可以进行SQL编辑查询等操作。
漏洞详情
9月15日Apache软件基金会发布安全公告,修复了Apache Superset的远程代码执行漏洞(CVE-2020-13948)。
Apache Superset经过身份验证的用户可通过产品中的许多模板化文本字段来提出请求,从而允许在构建Web应用程序过程中访问Python的os软件包。因此,经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外,可以为当前进程设置环境变量,在可写的文件夹中创建和更新文件,以及执行可访问的任意程序。
影响范围
Apache Superset < 0.37.1
修复建议
厂商已发布新版修复该漏洞,建议受影响的用户升级到Apache Superset最新版本。
参考链接
https://lists.apache.org/thread.html/rdeee068ac1e0c43bd5b69830240f30598df15a2ef9f7998c7b29131e%40%3Cdev.superset.apache.org%3E
免责申明:
本项目仅进行信息搜集,漏洞探测工作,无漏洞利用、攻击性行为,发文初衷为仅为方便安全人员对授权项目完成测试工作和学习交流使用。
请使用者遵守当地相关法律,勿用于非授权测试,勿用于非授权测试,勿用于非授权测试~~(重要的事情说三遍)~~,如作他用所承受的法律责任一概与东塔安全学院无关!
东塔安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台,搜索下面“关键词”学习起来吧
微博、腾讯课堂、知乎:东塔网络安全学院
哔哩哔哩:东塔网络安全
了解更多活动和咨询欢迎微信添加:dongtakefu
免费学习资料与课程
等你来领取