Apache ShardingSphere-Proxy <5.3.0 存在身份认证绕过漏洞

最新推荐文章于 2023-07-25 18:17:27 发布
最新推荐文章于 2023-07-25 18:17:27 发布
阅读量762 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: apache 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/128453217
版权

漏洞描述

Apache ShardingSphere 是一款分布式的数据库生态系统,ShardingSphere-Proxy 是支持 MySQL、PostgreSQL 和 openGauss 协议的数据库代理模块。

ShardingSphere-Proxy 5.3.0 之前的版本中在使用 MySQL 作为后端数据库时,在客户端认证失败后没有完全清理数据库会话信息,攻击者通过构造一个忽略身份验证失败消息的MySQL客户端则可利用会话执行SQL语句。
该漏洞已存在POC、EXP。

漏洞名称 Apache ShardingSphere-Proxy <5.3.0 存在身份认证绕过漏洞
漏洞类型 清理环节不完整
发现时间 2022/12/23
漏洞影响广度
MPS编号 MPS-2022-64480
CVE编号 CVE-2022-45347
CNVD编号 -

影响范围

org.apache.shardingsphere:shardingsphere-proxy@[1.0.0, 5.3.0)

修复方案

升级org.apache.shardingsphere:shardingsphere-proxy到 5.3.0 或更高版本

参考链接

https://www.oscs10

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker搭建MySQLl基于ShardingSphere-Proxy读写分离(docker-compose)
12-22
docker_compose搭建shardingSphereProxyMysql主从读写分离
apache-shardingsphere-4.1.1-sharding-proxy-bin-test.zip
04-25
apache-shardingsphere-4.1.1-sharding-proxy
漏洞分析】Apache ShardingSphere-Proxy 5.3.0 身份认证绕过
murphysec的博客
12-27 730
2022年12月22日,Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞(CVE-2022-45347)。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时,由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息,攻击者可利用未关闭的会话信息绕过 ShardingSphere-Proxy 的 MySQL 身份验证,执行任意 sql 命令。
Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告
smellycat000的专栏
12-27 1289
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Apache ShardingSphere是关系型数据库中间件,可将任何数据库转换为分布式数据库系统,并通过分片、弹性扩展、加密功能等对其进行增强,旨在充分合理地在分布式的场景下利用关系型数据库的计算和存储能力,而并非实现一个全新的关系型数据库,它与NoSQL和NewSQL是并存而非互斥的关系。近日,奇安信CERT监测...
【安全风险通告】Apache ShardingSphere远程代码执行漏洞安全风险通告
smellycat000的专栏
03-10 1006
近日,奇安信云影实验室安全研究员maoge发现Apache ShardingSphere存在远程代码执行漏洞,目前官方已为该漏洞分配CVE编号:CVE-2020-1947。截至今日,该漏...
【高危】Apache ShardingSphere 反序列化漏洞
murphysec的博客
07-25 425
Apache ShardingSphere 是一个开源的分布式数据库中间件。在 Apache ShardingSphere 受影响版本中,由于 Apache ShardingSphere-Agent 在反序列化 YAML 配置文件时未正确验证不受信任数据,攻击者可以利用 SnakeYAML 反序列化 java.net.URLClassLoader 加载恶意 JAR 文件,再结合 javax.script.ScriptEngineManager 反序列化 JAR 文件来执行恶意代码。
【高危】Apache Superset 2.1.0 认证绕过漏洞(POC)(CVE-2023-27524)
murphysec的博客
04-28 854
Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。 Apache Superset 受影响版本在使用默认的secret_key时,攻击者可通过默认的secret_key为任意用户生成有效的会话令牌,进而绕过验证造成信息泄露,甚至造成任意代码执行。
apache-shardingsphere-sharding-proxy4.1.1修改后的zip包
08-09
apache-shardingsphere-sharding-proxy4.1.1修改后的zip包,对apache官网直接下载的包进行了优化,下载即可使用,不用修改其他东西。
apache-shardingsphere-incubating-4.0.1-sharding-proxy-bin.tar.gz
05-13
apache-shardingsphere-incubating-4.0.1-sharding-proxy-bin.tar.gz
ShardingSphere-Proxy 性能异常的 async-profiler 采样结果
最新发布
08-14
ShardingSphere-Proxy 性能异常的 async-profiler 采样结果
Apache Superset中存在严重漏洞
smellycat000的专栏
01-17 1349
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。Apache Superset 是一款现代数据探索和数据可视化平台,能够为很多团队替代或扩充专有的业务情报工具,能够很好地集成多种数据来源。Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703),...
shardingsphere-proxy5.3.1复合分片算法的问题
用Python画画的小白
02-28 248
shardingsphere-proxy5.3.1的问题
ShardingSphere-Proxy安装
qq_42009405的博客
12-12 1076
ShardingSphere-Proxy安装
OSCS开源安全周报第23期:Foxit PDF Reader/Editor 任意代码执行漏洞
OSCS开源安全社区
12-26 593
OSCS 社区共收录安全漏洞10个,其中公开漏洞值得关注的是针对 NPM 、PyPI 仓库,共监测到 25 个不同版本的 NPM 、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;在多个不同名称的 PyPI 包中发现 W4SP 窃取器。Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。
Apache Superset 会话验证漏洞可导致攻击者访问未授权资源
smellycat000的专栏
04-26 1134
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今年年初早些时候,Apache Superset 中设置了不安全的默认配置,攻击者可借此登录并接管该数据可视化应用、窃取数据并执行恶意代码。该漏洞编号是CVE-2023-27524。Apache Superset 基于 Python 的Flash 框架,默认配置公开已知的密钥 SECRET_KEY = '\2\1thisismyscretkey\...
Sharding-Proxy负载均衡故障转移
vc33569的专栏
07-29 987
sharding-proxy高可用 负载均衡故障转移
CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告
爱国小白帽
03-13 1048
CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告 360-CERT [360CERT](javascript:void(0)???? 昨天 0x01 漏洞背景 2020年3月11日,360CERT监测发现ShardingSphere官方发布4.0.1版本的更新公告,当攻击者在后台管理处提交恶意 yaml ,会被解析从而造成代码执行 Shardi...
漏洞通告】Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)通告
爱国小白帽
03-12 1568
漏洞通告】Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)通告 威胁对抗能力部 绿盟科技安全情报 今天 通告编号:NS-2020-0018 2020-03-12 TAG: ApacheShardingSphere、CVE-2020-1947 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.0 1 漏洞概述 Apache S...
ShardingSphere-Proxy:从实际场景出发,快速上手
ShardingSphere官微
04-07 4538
本篇文章主要从项目中实际场景出发,讲解分库分表等功能在日常运维中遇到的问题,以及 ShardingSphere-Proxy 对应的解决方案,版本号:v5.1.0。如无特别声明,以下示例中的数据库指 MySQL。一、这个项目做什么ShardingSphere-Proxy,可以让用户像使用原生数据库一样使用 Apache ShardingSphere。了解一项技术的开始,一般...
we find java version: java8, full_version=1.8.0_311, full_path=/java/jdk/jdk1.8.0_311/bin/java The classpath is /java/shardingproxy/shardingsphere-proxy-5.3.2/conf:/java/shardingproxy/shardingsphere-proxy-5.3.2/conf:.:/java/shardingproxy/shardingsphere-proxy-5.3.2/lib/*:/java/shardingproxy/shardingsphere-proxy-5.3.2/ext-lib/* main class org.apache.shardingsphere.proxy.Bootstrap -1 /java/shardingproxy/shardingsphere-proxy-5.3.2/conf 0.0.0.0 false Starting the ShardingSphere-Proxy ... PID: 22559 Please check the STDOUT file: /java/shardingproxy/shardingsphere-proxy-5.3.2/logs/stdout.log
06-09
这段信息显示了Java的版本为Java 8,完整版本号为1.8.0_311,完整路径为`/java/jdk/jdk1.8.0_311/bin/java`。 另外,这段信息还显示了启动的主类为`org.apache.shardingsphere.proxy.Bootstrap`,classpath 包括了`/java/shardingproxy/shardingsphere-proxy-5.3.2/conf`、`/java/shardingproxy/shardingsphere-proxy-5.3.2/conf:.:/java/shardingproxy/shardingsphere-proxy-5.3.2/lib/*` 和 `/java/shardingproxy/shardingsphere-proxy-5.3.2/ext-lib/*`,同时还显示了启动的参数 `-1`、`/java/shardingproxy/shardingsphere-proxy-5.3.2/conf`、`0.0.0.0` 和 `false`。最后,它显示了ShardingSphere-Proxy的启动PID为22559,并提醒您查看STDOUT文件`/java/shardingproxy/shardingsphere-proxy-5.3.2/logs/stdout.log`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值