【安全通告】关于 DolphinScheduler 漏洞情况的说明
点击上方 蓝字关注我们
【安全通报】
【影响程度:低】
Apache DolphinScheduler 社区邮件列表最近通告了 1 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情况说明:
CVE-2021-27644
重要程度:低
影响范围:暴露服务在外网中、且内部账号泄露。如果无上述情况,用户可根据实际情况决定是否需要升级。
影响版本:<1.3.6
漏洞说明:
此问题是由于mysql connectorj 漏洞引起的,DolphinScheduler 登陆用户(未登录用户无法执行此操作,建议企业做好账号安全规范)可在数据源管理页面-Mysql数据源填写导致安全隐患的恶意参数。(未使用 Mysql 数据源的不影响)
修复建议:升级到>=1.3.6版本
特别感谢
特别感谢漏洞报告者:来自蚂蚁安全非攻实验室的锦辰同学,他提供了漏洞的还原过程以及对应的解决方案。整个过程呈现了专业安全人员的技能和高素质,感谢他们为开源项目的安全守护所作出的贡献。
建议
十分感谢广大用户选择 Apache DolphinScheduler 作为企业的大数据任务调度系统,但必须要提醒的是调度系统属于大数据建设中核心基础设施,请不要将其暴露在外网中。此外应该对企业内部人员账号做好安全措施,降低账号泄露的风险。
贡献
迄今为止,Apache DolphinScheduler 社区已经有近 200+ 位代码贡献者,70+ 位非代码贡献者。其中也不乏其他Apache 顶级项目的 PMC 或者 Committer,非常欢迎更多伙伴也能参与到开源社区建设中来,为建造一个更加稳定安全可靠的大数据任务调度系统而努力,同时也为中国开源崛起献上自己的一份力量!
官网 :https://dolphinscheduler.apache.org/
MailList :dev@dolphinscheduler@apache.org
Twitter :@DolphinSchedule
YouTube :https://www.youtube.com/channel/UCmrPmeE7dVqo8DYhSLHa0vA
Slack :https://s.apache.org/dolphinscheduler-slack
Contributor Guide:https://dolphinscheduler.apache.org/en-us/community/index.html
如果对漏洞有任何疑问,欢迎参与讨论,竭诚解决大家的疑虑。
☞Apache DolphinScheduler 1.3.9 发布,新增 StandaloneServer
☞美女亲自带你快速上手 DolphinScheduler
☞手把手教你 Apache DolphinScheduler 本地开发环境搭建 | 中英文视频教程
☞Apache DolphinScheduler使用规范与使用技巧分享
点击阅读原文,加入开源!
点个在看你最好看
最新文章
- python性能检测工具整理
- web前端基础知识-(八)Ajax
- Linux Shell脚本编程--Head/Tail命令详解
- [No00003D]操作系统Operating Systems信号量的代码实现Coding Semaphore &;死锁处理Deadlock
- iOS设置分割线从边框顶端开始
- XML标签
- SQL书写技巧
- 查看目标文件是否是以-fPIC编译的, ar 打包命令将多个静态库打包到一个里面
- 无法打开登录所请求的数据库 ";XXX";。登录失败。 用户 &#39;NT AUTHORITY\SYSTEM&#39; 登录失败。
- C# 调试
- Keil 3光标问题 以及汉字问题
- HDU 5045 Contest(状压DP)
- 201521123005 《Java程序设计》第1周学习总结
- vue--";卡片层叠"; 组件 开发小记
- Git——简说.git目录【五】
- [Object Tracking] Deep Boundary detection Tech
- Mybatis 接口传入多个参数 xml怎么接收
- unable to find resource &#39;xxx\xx\overview.vm&#39; in any resource loader.
- openwrt设置默认登陆密码
- 《Python3网络爬虫开发实战》PDF+源代码+《精通Python爬虫框架Scrapy》中英文PDF源代码