Apache IoTDB 0.13.0 权限控制不当漏洞

最新推荐文章于 2024-08-15 14:36:23 发布
最新推荐文章于 2024-08-15 14:36:23 发布
阅读量310 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: apache iotdb 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126731077
版权

漏洞描述

Apache IotDB 是针对时序数据的数据管理系统。

Apache IotDB 受影响版本中由于登录检查不严格,导致攻击者可能获取更高等级权限。

攻击者可利用该漏洞获取其他用户权限。

漏洞名称Apache IoTDB 0.13.0 权限控制不当漏洞
漏洞类型认证机制不恰当
发现时间2022/9/6
漏洞影响广度
MPS编号MPS-2022-55567
CVE编号CVE-2022-38369
CNVD编号-

影响范围

org.apache.iotdb:iotdb-server@[0.13.0, 0.13.1)

修复方案

将组件 org.apache.iotdb:iotdb-server 升级至 0.13.1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-55567

https://github.com/apache/iotdb/pull/6514

https://github.com/apache/iotdb/commit/5f03723ff0c940ec68cfc53a0c491ceba80d2417

https://lists.apache.org/thread/7nk03ywvx3t3yjbcxzt7zy4nyc89y9b0

https://nvd.nist.gov/vuln/detail/CVE-2022-38369

    

订阅情报,并检测项目中存在的安全漏洞

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送。

官网地址:
https://www.oscs1024.com/?src=csdn

1、如何订阅情报

点击官网首页的订阅情报即可配置群聊机器人

订阅文档:https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn


2、如何检测项目漏洞

点击漏洞详情页右下方【免费使用】,即可快速体验墨菲安全专业的检测能力。提供代码安全检测、许可证合规评估等能力,目前支持 CLI 、IDE插件、GitHub多种检测方式,欢迎使用。

核心引擎已开源:https://github.com/murphysecurity/murphysec

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iotdb权限管理
大圣你在哪
04-21 2527
权限管理 IoTDB为用户提供了权限管理操作,从而为用户提供对于数据的权限管理功能,保障数据的安全。 基本概念 用户 用户即数据库的合法使用者。一个用户与一个唯一的用户名相对应,并且拥有密码作为身份验证的手段。一个人在使用数据库之前,必须先提供合法的(即存于数据库中的)用户名与密码,使得自己成为用户。 权限 数据库提供多种操作,并不是所有的用户都能执行所有操作。如果一个用户可以执行某项操作,则称该用户有执行该操作的权限权限可分为数据管理权限(如对数据进行增删改查)以及权限管理权限(用户、角色的创建与删除,
c++获取一段代码的执行时间_Apache IoTDB 远程代码执行漏洞CVE20201952
weixin_39830303的博客
11-27 187
Apache IoTDB 0.9.0-0.9.1版本和0.8.0-0.8.2版本存在远程代码执行漏洞漏洞是由于上述Apache IoTDB版本默认在31999端口开启RMI服务,并且没有做任何过滤,攻击者利用该漏洞可以导致远程代码执行。漏洞名称:Apache IoTDB远程代码执行漏洞CVE-2020-1952威胁等级:高危影响范围:Apache IoTDB 0.8.0-0.8.2Ap...
Apache IoTDB:Exception occurred while inserting records. java.lang.ArrayIndexOutOfBoundsException
乔的博客
04-29 682
现象 0.12 版本 IoTDB:写入数据报数组越界 2021-04-29 15:28:56,656 [pool-8-IoTDB-RPC-Client-14] WARN o.a.i.d.s.TSServiceImpl:1995 - [INTERNAL_SERVER_ERROR] Exception occurred while inserting records. java.lang.ArrayIndexOutOfBoundsException: 98 at org.apache.iotd
linux中服务启动报错Cannot open file logs/gc.log due to Permission denied【已解决】
萌小崔的博客
11-23 5662
错误原因:当前用户无法对指定错误文件没有权限使用,解决措施:修改分组权限,具体操作看下图
时序数据库-3-[IoTDB]的安装与使用
热门推荐
qq_20466211的博客
04-17 1万+
(1)关闭Hyper-v 控制面板-> 程序 -> 启用或关闭Windows功能 -> 勾选Hyper-v。 启用Hyper-V后,VirtualBox就无法在使用。 但是,将保留所有现有的VirtualBox VM映像。
物联网时序库iotdb-0.13.0中文版官方文档
06-16
《物联网时序库IotDB-0.13.0中文版官方文档详解》 物联网(IoT)作为现代科技的前沿领域,其发展离不开高效的数据处理与存储技术。IotDB作为一个专为物联网设计的时序数据库系统,旨在解决大规模时间序列数据的管理...
zeppelin-iotdb-0.13.0-jar-with-dependencies.jar
06-15
iotdb 0.13 zeppelin 解释器
influxdb-0.13.0-1.zip
09-29
5. **监控与管理工具**:可能包含了改进的监控和管理工具,如命令行界面或者Web UI,使得用户可以更好地管理和监控数据库的运行状态,包括查看性能指标、管理用户和权限等。 6. **兼容性**:InfluxDB 0.13.0可能...
thrift-0.13.0.zip
01-29
在给定的 "thrift-0.13.0.zip" 文件中,我们看到的是Thrift的Java版本,已经包含了编译好的库和必要的依赖包,使得开发者可以在Java环境中使用Thrift。 1. **Thrift IDL**:Thrift IDL是一种类似于C++的语法,用于...
原生session操作IoTDB.zip
12-15
- `libthrift-0.13.0.jar`:Thrift框架库,用于跨语言服务开发,IoTDB使用Thrift作为其RPC协议。 - `slf4j-api-1.7.25.jar`:简单日志门面(SLF4J),提供一个抽象层,允许最终用户在部署他们的应用程序时插入所需...
Apache IoTDB Session (0.13) 写入接口介绍
Falcon6的博客
02-14 1231
Apache IoTDB 提供多种原生写入接口,包括单设备单行写入 (insertRecord)、多设备多行同时写入 (insertRecords)、单设备多行同时写入(insertRecordsOfOneDevice 与 insertTablet),用户可根据自己的写入场景和写入负载灵活选择不同的写入接口 写入的基本接口 insertRecord 接口 void insertRecord(String deviceId, long time, List<String> measurements
apache iotdb 初步使用以及遇到的问题
qq_31866793的博客
12-01 3390
1,安装iotdb 1)下载zip包 https://iotdb.apache.org/Download/ unzip解压 启动: 2,Flink代码写入iotdb import com.google.common.collect.Lists; import org.apache.flink.api.java.tuple.Tuple2; import org.apache.flink.streaming.api.environment.StreamExecutionEnvironme...
IoTDB用户的管理
qq_44768464的博客
12-03 2539
用户的管理 首先我们了解一下, 在初始安装IoTDB之后,IoTDB中有一个默认用户:root,默认密码是root。此用户是管理员用户,无法删除该用户并具有所有权限。不能将新权限授予根用户,也不能删除根用户拥有的权限。 创建用户 # 创建用户ln_write_user,密码为write_pwd IoTDB> create user ln_write_user,密码为 'write_pwd' # 创建用户sgcc_write_user,密码为write_pwd IoTDB> create use
Apache IoTDB 系列教程-5:常见问题汇总(1)
乔的博客
07-06 2233
在过去的一段时间,收集了不少大家在使用过程中反馈的问题,今天把一些常见问题列出来,给更多人提供参考。开了个交流群二维码,可以扫码进群。正文 1974 字,预计阅读时间 5 分钟。扫码进群...
Apache IoTDB源码解析(0.11.2版本):RPC服务启动解析
编程学习者的博客
05-29 506
当前版本:jdk1.8、iotdb 0.11.2 1. 声明 当前内容主要查看Iotdb服务启动过程中的rpc的绑定的源码解析(通过之前的解析可以得到IotDB的rpc服务必定是Thrift的实现,通信中Session使用的为Client) 2. 找到启动类 一般是通过start-server.bat启动的所以可以通过该脚本发现启动类的位置 发现使用org.apache.iotdb.db.service.IoTDB这个类作为启动类,开始下载源码并找到启动类 可以从里面找到IoTDB这个类就可以得到结果
Windows 无法启动 Apache IoTDB:系统找不到指定的路径
乔的博客
04-02 4952
现象 原因 java 命令找不到,JAVA_HOME 没配好 解决方案 检查 java -version 和 echo JAVA_HOME是否一致,且此 java 目录是否存在。 如果路径不存在,则更新 JAVA_HOME 到一个存在的 jdk 根目录。
apache huidi 时间旅行Time Travel)机制
JustinMars的博客
08-15 358
Apache Hudi 的时间旅行功能主要依赖于提交日志、基础文件与增量日志的结合,以及通过合并与压缩来管理数据的多个版本。索引机制则进一步提高了查询的效率。通过这些机制,Hudi 能够实现高效的时间旅行查询,允许用户访问数据的历史版本。
Apache CloudStack Official Document 翻译节选(二)
UsamaBinLaden6976498的专栏
08-13 520
与有单一的中央Apache CloudStack云管理服务集群管理广泛分散的专职地带团体的情形相比,把专职地带团体归置到邻近的Apache CloudStack云管理服务集群之下可以大幅降低Apache CloudStack云内的通讯延时。【如果你正在升级Apache CloudStack的版本、且你的Apache CloudStack中含有来自多重VMware数据中心的集群的专职地带,那么这种专职地带不会被强制迁移到新版本的模式中、且它依旧可以运行。专职地带分为公有的专职地带和私有的专职地带。
Apache Doris 的 Incremental Read增量读取,数据合并,数据清理
最新发布
JustinMars的博客
08-15 243
Incremental Read(增量读取)是 Apache Doris 用来提高查询效率的一个重要功能。它的核心思想是通过增量地读取和处理数据,减少不必要的数据扫描,从而加速查询的执行。这个功能特别适用于那些数据更新频繁但查询侧重于最新数据的场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值