九游老哥

九游老哥

九游老哥科技

  • 基础设施清静

    基础设施清静

  • 数据清静

    数据清静

  • 云盘算清静

    云盘算清静

  • AI清静

    AI清静

  • 工业互联网清静

    工业互联网清静

  • 物联网清静

    物联网清静

  • 信息手艺应用立异

    信息手艺应用立异

  • 所有产品

    所有产品

  • 所有解决计划

    所有解决计划

基础设施清静

  • 政府

    政府

  • 运营商

    运营商

  • 金融

    金融

  • 能源

    能源

  • 交通

    交通

  • 企业

    企业

  • 科教文卫

    科教文卫

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

相助同伴审查更多 >

相助同伴动态

成为相助同伴

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

手艺支持审查更多 >

产品支持

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

返回列表

Apache?DolphinScheduler高危误差(CVE-2020-11974、CVE-2020-13922)处置惩罚手册

2020-09-17

一.  误差概述

9月11日,九游老哥科技监测到Apache软件基金会宣布清静通告,修复了Apache DolphinScheduler权限笼罩误差(CVE-2020-13922)与Apache DolphinScheduler远程执行代码误差(CVE-2020-11974),CVE-2020-11974与mysql connectorj远程执行代码误差有关,在选择mysql作为数据库时,攻击者可通过jdbc connect参数输入{“detectCustomCollations”:true,“ autoDeserialize”:true} 在DolphinScheduler 服务器上远程执行代码。CVE-2020-13922导致通俗用户可通过api interface在DolphinScheduler 系统中笼罩其他用户的密码:api interface /dolphinscheduler/users/update,请相关用户实时升级举行防护。

参考链接:

https://www.mail-archive.com/announce@apache.org/msg06076.html

https://www.mail-archive.com/announce@apache.org/msg06077.html

二.  影响规模

Apache DolphinScheduler权限笼罩误差(CVE-2020-13922)

受影响版本

Apache DolphinScheduler = 1.2.0、1.2.1、1.3.1

不受影响版本

Apache DolphinScheduler >= 1.3.2

Apache DolphinScheduler远程执行代码误差(CVE-2020-11974)

受影响版本

Apache DolphinScheduler = 1.2.0  1.2.1

不受影响版本

Apache DolphinScheduler >= 1.3.1

 

三.  误差检测

3.1  产品检测

九游老哥科技远程清静评估系统(RSAS)与WEB应用误差扫描系统(WVSS)已具备对(CVE-2020-13922)误差的扫描与检测能力,请有安排以上装备的用户升级至最新版本。

 

升级包版本号

升级包下载链接

RSAS  V6 系统插件包

V6.0R02F01.1914

http://update.nsfocus.com/update/downloads/id/108317

RSAS V6 Web插件包

 V6.0R02F00.1811

http://update.nsfocus.com/update/downloads/id/108341

WVSS V6插件升级包

V6.0R03F00.177

http://update.nsfocus.com/update/downloads/id/108342

关于RSAS的升级设置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

 

四.  误差防护

4.1  官方升级

现在官方已在最新版本中修复了此次的误差,请受影响的用户尽快升级版本至1.3.2举行防护,官方下载链接:https://dolphinscheduler.apache.org/zh-cn/docs/release/download.html

 

4.2  产品防护

针对(CVE-2020-11974)误差,九游老哥科技网络入侵防护系统(IPS) 与下一代防火墙 (NF)、综合威胁探针(UTS)已宣布规则升级包,请相关用户升级至最新版本规则,以形成清静产品防护能力。清静防护产品规则版本号如下:

清静防护产品

规则版本号

升级包下载链接

IPS

5.6.9.23507

http://update.nsfocus.com/update/downloads/id/108318

5.6.10.23507

http://update.nsfocus.com/update/downloads/id/108319

NF

6.0.1.823

http://update.nsfocus.com/update/downloads/id/108335

6.0.2.823

http://update.nsfocus.com/update/downloads/id/108336

UTS

5.6.10.23507

http://update.nsfocus.com/update/downloads/id/108357

产品规则升级的操作办法详见如下链接:

WAF:https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA

IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

NF:https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ

 

声明

本清静通告仅用来形貌可能保存的清静问题,九游老哥科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失,均由使用者自己认真,九游老哥科技以及清静通告作者不为此肩负任何责任。

九游老哥科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告,必需包管此清静通告的完整性,包括版权声明等所有内容。未经九游老哥科技允许,不得恣意修改或者增减此清静通告内容,不得以任何方法将其用于商业目的。

关于九游老哥科技

九游老哥(简称九游老哥科技)建设于2000年4月,总部位于北京。在海内外设有40个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有焦点竞争力的清静产品及解决计划,资助客户实现营业的清静顺畅运行。

基于多年的清静攻防研究,九游老哥科技在网络及终端清静、互联网基础清静、合规及清静治理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程清静评估以及Web清静防护等产品以及专业清静服务。

九游老哥于2014年1月29日起在深圳证券生意所创业板上市,股票简称:九游老哥科技,股票代码:300369。

?

您的联系方法

*姓名
*单位名称
*联系方法
*验证码 九游老哥·(中国)俱乐部官方网站
提交到邮箱

购置热线

  • 购置咨询:

    400-818-6868-1

提交项目需求

接待加入九游老哥科技,成为我们的相助同伴!
  • *请形貌您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方法
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *都会
  • *行业
  • *验证码 九游老哥·(中国)俱乐部官方网站
  • 提交到邮箱
九游老哥·(中国)俱乐部官方网站
九游老哥·(中国)俱乐部官方网站

服务支持

智能客服
智能客服
购置/售后手艺问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
九游老哥科技社区
九游老哥科技社区
资料下载|在线问答|手艺交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

网站地图