【漏洞复现】StarRocks MPP数据库未授权访问漏洞

最新推荐文章于 2024-09-07 18:52:53 发布
最新推荐文章于 2024-09-07 18:52:53 发布
阅读量624 收藏 9
点赞数 11
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/135629403
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

本文详细介绍了StarRocks MPP数据库的一个未授权访问漏洞,该漏洞存在于其8040端口提供的web页面中,允许未经身份验证的用户获取敏感信息。此外,提供了产品简介、漏洞描述、复现步骤及修复建议,建议受影响的用户及时联系官方修复。
摘要由CSDN通过智能技术生成

Nx01 产品简介

        StarRocks 是一个MPP数据库,具备水平在线扩缩容,金融级高可用,兼容 MySQL 5.7 协议和 MySQL 生态,提供全面向量化引擎与多种数据源联邦查询等重要特性。StarRocks 致力于在全场景 OLAP 业务上为用户提供统一的解决方案,适用于对性能,实时性,并发能力和灵活性有较高要求的各类应用场景

Nx02 漏洞描述

        StarRocks 数据库的8040端口提供了web页面,该页面存在未授权访问漏洞。

Nx03 产品主页

hunter-query: web.title="StarRocks"

Nx04 漏洞复现

访问以下接口未授权获取信息。

/mem_tracker
/memz
/varz

Nx05 修复建议

建议联系软件厂商进行处理。

晚风不及你ღ
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录

已下架不支持订阅

MPP数据库技术支撑电信行业大数据应用
10-19
### MPP数据库技术在电信行业中的应用 #### 一、MPP数据库技术概述 MPP(Massively Parallel Processing,大规模并行处理)数据库技术是一种基于分布式计算架构的数据库管理系统,它能够通过并行处理大量数据来...
StarRocks升级2.5.10,并升级MySQL版本,应对安全扫描
Boven
08-15 674
StarRocks从2.3.x升级2.5.10, 并升级MySQL版本从5.1.0到5.1.73, 应对安全扫描
starrocks权限管理-2.3.2版本
anguoan的博客
01-11 1722
starrocks权限管理
k8s部署starrocks进行stream load导入问题整理
weixin_43686615的博客
09-12 420
k8s部署starrocks服务后,进行stream load时报错 curl:(6)Could not resolve host: starrockscluster-sample-be-0.starrockscluster-sample-be-search.starrocks.svc.cluster.local;
StarRocks数据库部署全记录(保姆式帮助你初次体验StarRocks)
Wyatt_zhai
08-02 2937
因业务需要,特此了解StarRocks产品和部署。 接触过程中发现指导资料很稀少,本人将结合官方的手册+其他开源博主指导,将第一次接触到的概念和部署流程梳理,得出本文。 已有的资源中对细节介绍欠缺,导致我本人整个过程中花费了大量时间去验证。这也是本文独特之处
第1.2章:StarRocks部署--部署环境准备
热门推荐
流木的博客
11-23 1万+
1.1集群硬件推荐 StarRocks对服务器配置的基础要求不高,测试环境2核4G内存下也能够正常进行一些小数据规模的查询。在生产环境下或者我们比较关注性能时,StarRocks各实例推荐的硬件配置为: 实例名称 配置要求 FE 8核16GB万兆网卡 及以上(并发不高时可与BE混布) BE 16核64GB万兆网卡 及以上 CPU必需支持AVX2指令集 Broker .
MPP数据库对比.doc
06-16
主流分布式并行处理数据库产品介绍 1 Greenplum 1 基础架构 Greenplum是基于Hadoop的一款分布式数据库产品,在处理海量数据方面相比传统数 据库有着较大的优势。 Greenplum整体架构如下图: 数据库由Master Severs...
国产开源优秀新一代MPP数据库StarRocks入门之旅-数仓新利器(上).doc
07-09
国产开源优秀新一代 MPP 数据库 StarRocks 入门之旅-数仓新利器(上) StarRocks 是一个国产开源的优秀新一代 MPP 数据库,具有极速全场景分析能力,支持多种数据模型和导入方式,兼容 MySQL 协议,能够满足企业...
国产开源优秀新一代MPP数据库StarRocks入门之旅-数仓新利器(中).doc
07-09
国产开源优秀新一代 MPP 数据库 StarRocks 入门之旅-数仓新利器(中) 本文将对国产开源优秀新一代 MPP 数据库 StarRocks 进行详细的介绍,涵盖 StarRocks 的发展历史、架构设计、特性、应用场景等方面的知识点。 ...
Web漏洞-授权访问漏洞
Ays.Ie的博客
03-21 3786
该篇记录了web漏洞-授权访问漏洞的相关知识
数据仓库系列:StarRocks的简单试用及与clickhouse的对比
penriver的博客
04-09 3180
本文记录针对StarRocks的试用情况,并拿StarRocks与ClickHouse进行了对比。 StarRocks 与 ClickHouse 是两款基于 MPP 架构的列式数据库管理系统,都可以提供高性能的 OLAP 分析能力。 但是它们在功能、性能和使用场景上也有一些区别 想知道这些区别嘛,快来看看这篇文章吧
StarRocks 有比较丰富的数据模型
feidododekefu的博客
11-03 578
StarRocks 有比较丰富的数据模型
在Ubuntu20.04安装StarRocks On Docker并在DataGrip配置JDBC协议连接容器内StarRocks2.3.2
云来山更佳,云去山如画
09-10 2277
在Ubuntu20.04安装StarRocks On Docker并在DataGrip配置JDBC协议连接容器内StarRocks2.3.2
StarRocks(一)简介与手动部署
Yuan_CSDF的博客
12-23 6820
前言 关于 Apache Doris 和 DorisDB、StarRocks 的关系 Apache Doris和DorisDB是两个不同公司的产品。DorisDB开源后改名为StarRocks。现在的StarRocks有分为免费版有企业版。 StarRocks官网:StarRocks - 新一代极速全场景MPP数据库 1、StarRocks简介 1.1、StarRocks介绍 StarRocks是新一代极速全场景MPP数据库 ...
国产开源优秀新一代MPP数据库StarRocks入门之旅-数仓新利器(上)
Firstlucky77的博客
05-25 2492
概述 背景 Apache Doris官方地址Apache Doris Apache Doris GitHub源码地址GitHub - apache/incubator-doris: Apache Doris(Incubating) is an MPP-based interactive SQL data warehousing for reporting and analysis. Apache Doris是一个现代化的MPP分析型数据库产品。仅需亚秒级响应时间即可获得查询结果,有效地支持实时..
第1.3章:StarRocks部署--单机部署
流木的博客
11-26 8578
严格来说,StarRocks并没有所谓的“Standalone运行模式”,生产环境下更是不建议进行单实例部署。这里将单机部署整理出来,主要是考虑当用户测试环境受限于机器数量或仅希望验证功能,那么也可以在一台机器上简易部署把StarRocks跑起来。 以服务器“starrocks(192.168.110.98)”为例,在进行完“第1.2章:StarRocks部署--部署环境准备”中的准备工作后,我们开始进行单节点的部署。 为方便演示,我们使用root用户通过XShell工具访问服务器,单节点架构设计如下:
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1621
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
【网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
最新发布
goldfish8848的博客
09-07 738
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值