【安全通告-CVE-2022-25598】关于 DolphinScheduler 漏洞情况的说明

点击蓝字 关注我们

最近，Apache DolphinScheduler 社区邮件列表通告了 1 个漏洞，考虑到有很多用户并未订阅此邮件列表，我们特地在此进行情况说明：

01

CVE-2022-25598

漏洞描述：用户注册校验时可能遭受恶意参数引起的安全隐患。

重要程度：低

影响范围：API 服务暴露在外网中的用户。用户可根据实际情况决定是否需要升级。

影响版本：<2.0.5

漏洞说明：

此问题是由于用户注册校验错误引起，攻击者可以在注册页面填写导致安全隐患的恶意参数。

修复建议：

升级到>=2.0.5版本

02

特别感谢

特别感谢漏洞报告者：来自哈尔滨工业大学的王政同学，他提供了漏洞的还原过程以及对应的解决方案。整个过程呈现了专业安全人员的技能和高素质，感谢他们为开源项目的安全守护所作出的贡献。

03

建议

十分感谢广大用户选择 Apache DolphinScheduler 作为企业的大数据任务调度系统，但必须要提醒的是调度系统属于大数据建设中核心基础设施，请不要将其暴露在外网中。此外应该对企业内部人员账号做好安全措施，降低账号泄露的风险。

04

贡献

迄今为止，Apache DolphinScheduler 社区已经有近 300+ 位代码贡献者，100+ 位非代码贡献者。其中也不乏其他 Apache 顶级项目的 PMC 或者 Committer，非常欢迎更多伙伴也能参与到开源社区建设中来，为建造一个更加稳定安全可靠的大数据任务调度系统而努力，同时也为中国开源崛起献上自己的一份力量！

官网 ：https://dolphinscheduler.apache.org/

MailList ：dev@[email protected]

Twitter ：@DolphinSchedule

YouTube ：https://www.youtube.com/channel/UCmrPmeE7dVqo8DYhSLHa0vA

Slack ：https://s.apache.org/dolphinscheduler-slack

Contributor Guide：https://dolphinscheduler.apache.org/en-us/community/index.html

如果对漏洞有任何疑问，欢迎参与讨论，竭诚解决大家的疑虑。

参与贡献

随着国内开源的迅猛崛起，Apache DolphinScheduler 社区迎来蓬勃发展，为了做更好用、易用的调度，真诚欢迎热爱开源的伙伴加入到开源社区中来，为中国开源崛起献上一份自己的力量，让本土开源走向全球。

参与 DolphinScheduler 社区有非常多的参与贡献的方式，包括：

贡献第一个PR(文档、代码) 我们也希望是简单的，第一个PR用于熟悉提交的流程和社区协作以及感受社区的友好度。

社区汇总了以下适合新手的问题列表：https://github.com/apache/dolphinscheduler/issues/5689

非新手问题列表：https://github.com/apache/dolphinscheduler/issues?q=is%3Aopen+is%3Aissue+label%3A%22volunteer+wanted%22

如何参与贡献链接：https://dolphinscheduler.apache.org/zh-cn/docs/development/contribute.html

来吧，DolphinScheduler开源社区需要您的参与，为中国开源崛起添砖加瓦吧，哪怕只是小小的一块瓦，汇聚起来的力量也是巨大的。

参与开源可以近距离与各路高手切磋，迅速提升自己的技能，如果您想参与贡献，我们有个贡献者种子孵化群，可以添加社区小助手微信(Leonard-ds) ，手把手教会您( 贡献者不分水平高低，有问必答，关键是有一颗愿意贡献的心 )。

添加小助手微信时请说明想参与贡献。

来吧，开源社区非常期待您的参与。

☞Apache SeaTunnel (Incubating) 2.1.0 发布，内核重构、全面支持 Flink

☞全面拥抱 K8s，ApacheDolphinScheduler 应用与支持 K8s 任务的探索

☞杭州思科对 Apache DolphinScheduler Alert 模块的改造

☞日均处理 10000+ 工作流实例，Apache DolphinScheduler 在 360 数科的实践

☞Apache DolphinScheduler 2.0.5 发布，Worker 容错流程优化

☞Apache DolphinScheduler 版本控制核心原理揭

☞喜讯 | Apache DolphinScheduler PMC Chair 代立冬，PMC 郭强获邀成为 ASF Member

☞途家大数据平台基于 Apache DolphinScheduler 的探

索与

实践

点击阅读原文，参与开源！