【安全资讯】Debian InfluxDB数据库发现身份验证绕过漏洞,需要尽快升级

最新推荐文章于 2024-06-12 13:28:50 发布
最新推荐文章于 2024-06-12 13:28:50 发布
阅读量607 收藏
点赞数
分类专栏: 安全资讯 文章标签: 云安全
原文链接:http://www.techweb.com.cn/cloud/2021-01-04/2819246.shtml
版权

来源: TechWeb.com.cn
发布时间:2021-01-04

Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机,台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Deepin、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来,它的稳定性和可靠性就深受用户喜爱。

1月1日,Debian InfluxDB时序型数据库发现身份验证绕过漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

来源:https://www.debian.org/security/2021/dsa-4823

CVE-2019-20933 CVSS评分: 9.8 严重

InfluxDB是由InfluxData公司基于Go语言编写开发的一个开源时序型数据库。它着力于高性能地查询与存储时序型数据。InfluxDB被广泛应用于存储系统的监控数据,IoT行业的实时数据等场景。

InfluxDB在services / httpd / handler.go中的身份验证功能中具有身份验证绕过漏洞,因为JWT令牌可能具有空的SharedSecret(也称为共享密钥).

受影响产品及版本

上述漏洞影响InfluxDB 1.6.4-1 + deb10u1之前版本

解决方案

此问题已在InfluxDB 1.6.4-1 + deb10u1版本中修复,官方建议及时更新influxdb软件包

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在 Ubuntu 和 Debian 上启用双因子身份验证的三种备选方案
09-15
在 Ubuntu 和 Debian 系统上,为了增强安全性,双因子身份验证(Two-Factor Authentication, 2FA)是一个有效的解决方案。本文将详细讲解三种在这些操作系统上为 SSH 服务启用双因子验证的方法。 首先,理解双因子...
Debian系统平台下搭建Mysql数据库服务器(简单安装)
最新发布
07-11
Debian系统平台下搭建Mysql数据库服务器(简单安装)
influxdb1.7.5认证绕过漏洞复现
mohanhan
06-23 1603
influxdb1.7.5认证绕过漏洞复现kali docker 环境搭建1、kali中安装docker环境2、安装docker-compose3、启动docker,准备拉取系统镜像4、拉取对应镜像,这里可指定版本5、启动镜像6、命令行连接进入influx数据库,创建用户7、创建配置文件8、修改配置文件后,设置认证开启9、重启docker中的容器(不是docker),让配置生效10、浏览器访问数据库认证绕过-漏洞复现1、绕过方法2、利用admin用户名,在线生成JSON Web Token3、发送paylo
数据库安全InfluxDB 未授权访问-Jwt验证不当 漏洞.
网络安全领域___专研者.
11-11 1211
InfluxDB 是一个开源分布式时序,时间和指标数据库。其数据库是使用​​​​​​​Jwt 作为鉴权方式,在用户开启认证时,如果在设置参数shared-secret的情况下,Jwt 认证密钥为空字符串,这样攻击者就能伪造任意用户身份InfluxDB 数据库中执行SQL语句,因此会导致敏感信息泄露和执行威胁到数据库的数据命令.
CVE-2019-20933-influxdb未授权访问-vulhub
c0529的博客
06-12 398
InfluxDB 是一个开源分布式时序、时间和指标数据库,使用 Go 语言编写,无需外部依赖。其设计目标是实现分布式和水平伸缩扩展,是 InfluxData 的核心产品。其使用 jwt 作为鉴权方式。在用户开启了认证,但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可以伪造任意用户身份InfluxDB 中执行SQL语句。
数据库漏洞-Influxdb+H2database 复现
xiaoheizi的博客
07-10 727
命令:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C touch /tmp/success -A "服务器ip"抓取/query页面的数据包,将Get请求更改为Post请求,在请求中添加令牌,并且添加 POST 请求键值对:db=sample&q=show users。下载漏洞利用工具:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0。
influxdb未授权访问漏洞
zzzzz1284的博客
03-13 592
influxdb未授权访问漏洞
服务攻防-数据库安全-Influxdb&H2database&CouchDB&ElasticSearch数据库漏洞复现
ran的博客
05-07 2348
默认端口:InfluxDB 是一个开源的时间序列数据库,旨在处理大规模数据处理和分析的高写入和查询负载。它针对实时存储和查询大量时间戳数据进行了优化。InfluxDB 提供了一种类似 SQL 的查询语言称为 InfluxQL,允许用户从数据库中检索和操作数据。它还支持各种客户端库和插件,以与其他数据源和工具集成。InfluxDB 的一些主要特点包括:高写入和查询性能:InfluxDB 优化了高吞吐量数据摄取和检索,非常适合实时数据处理和分析。
Debian中PostgreSQL数据库安装配置实例
12-16
Debian下可以通过apt-get命令直接安装: 代码如下:sudo apt-get install postgresql postgresql-client postgresql-server-dev-all 安装完成后,PostgreSQL默认就创建了名为postgres用户,这个和MySQL的root以及S
Debian12通过Docker安装mariadb数据库(mysql可参考)
04-11
Docker Compose version v2.26.1
Debian 9系统上安装Mysql数据库的方法教程
12-16
Debian 9系统上安装MySQL数据库的过程实际上涉及到的是安装MariaDB,因为在这个版本的Debian中,MySQL已经被MariaDB替代。MariaDB是MySQL的一个分支,由MySQL创始人Monty Widenius领导的团队开发,它与MySQL兼容,...
jwt_tool:用于测试,调整和破解JSON Web令牌的工具包
04-29
JSON Web令牌工具包v2 jwt_tool.py是用于验证,伪造,扫描和篡改JWT(JSON Web令牌)的工具包。 其功能包括: 检查令牌的有效性 测试已知漏洞: (CVE-2015-2951) alg = none签名绕过漏洞 (CVE-2016-10555) RS / HS256公钥不匹配漏洞 (CVE-2018-0114)密钥注入漏洞 (CVE-2019-20933 / CVE-2020-28637)空白密码漏洞 (CVE-2020-28042)空签名漏洞 扫描配置错误或已知漏洞 模糊声明值以引发意外行为 测试机密/密钥文件/公共密钥/ JWKS密钥的有效性 通过高速字典攻击识别弱键 伪造新的令牌头和有效载荷内容,并使用密钥或通过其他攻击方法创建新的签名 时间戳篡改 RSA和ECDSA密钥生成和重建(来自JWKS文件) ...还有更多! 观众 该工具是为渗透测试人员
三种打补丁方法
01-27
三种重阳用的打补丁方法
漏洞复现Influxdb,H2database,couchDB,ElasticSearch
m0_63917373的博客
11-30 1491
漏洞复现Influxdb,H2database,couchDB,ElasticSearch vulhub vulfocus
数据库安全-H2 database&Elasticsearch&CouchDB&Influxdb漏洞复现
rumil的博客
10-14 989
Apache CouchDB是一个开源的面向文档的NoSQL数据库,用Erlang实现。它使用JSON来存储数据,使用MapReduce使用JavaScript作为查询语言,使用HTTP作为API。在用户开启了认证, 但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可 以伪造任意用户身份influxdb 中执行 SQL 语句。利用这个管理页面,我们可以进行 JNDI 注入攻击,进而在目标环境下执行任意命令。将生成出来的所提供的服务,输入到界面当中,进行连接。
InfluxDB 未授权访问漏洞复现
weixin_52125240的博客
03-16 9748
InfluxDB 未授权访问漏洞复现 前言:第一次复现漏洞,肯定会有很多不足的地方,这也是
vulhub漏洞复现28_Influxdb
weixin_44193247的博客
02-02 721
vulhub漏洞复现练习篇
InfluxDB 未授权访问 漏洞复现
Senimo
07-15 4594
InfluxDB 未授权访问漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC参考链接 一、漏洞描述 InfluxDB 是一个开源分布式时序、时间和指标数据库,使用 Go 语言编写,无需外部依赖。其设计目标是实现分布式和水平伸缩扩展,是 InfluxData 的核心产品。其使用 jwt 作为鉴权方式。在用户开启了认证,但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可以伪造任意用户身份InfluxDB 中执行SQL语句。 二、漏洞
Debian 生成nis数据库
04-25
你可以使用以下命令来生成 NIS 数据库: 1. 安装 ypserv 包: ``` sudo apt-get install ypserv ``` 2. 修改配置文件 /etc/default/nis: ``` sudo nano /etc/default/nis ``` 将 NISSERVERD_OPTS 变量的值修改为 "-p 0",保存并关闭文件。 3. 生成 NIS 数据库: ``` sudo /usr/lib/yp/ypinit -m ``` 根据提示输入域名,然后等待生成过程完成即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值