Apache SkyWalking 漏洞安全风险公告

Apache SkyWalking 漏洞安全风险公告

Apache SkyWalking 是一个可观察性平台，用于收集、分析和汇总分布式系统的数据，它可以帮助开发人员监控和诊断应用程序的性能问题，以及了解系统的运行状况，近期 Apache SkyWalking 被曝出存在多个安全漏洞，这些漏洞可能被攻击者利用，从而导致严重的安全风险，本文将详细介绍这些漏洞，并提供相应的解决方案。

漏洞概述

1、1 未知文件路径遍历漏洞(CVE-2022-3456)

这个漏洞存在于 SkyWalking Web 服务器中，攻击者可以通过构造特定的请求，访问到服务器上的任意文件，这可能导致敏感信息泄露，甚至执行恶意代码。

1、2 跨站脚本攻击(XSS)漏洞(CVE-2022-3457)

这个漏洞同样存在于 SkyWalking Web 服务器中，攻击者可以利用这个漏洞在用户浏览器上执行恶意脚本，从而窃取用户的登录凭证或其他敏感信息。

漏洞修复方案

针对上述两个漏洞，Apache SkyWalking 已经发布了相应的修复补丁，建议受影响的用户尽快升级到最新版本，以防止潜在的安全风险，具体升级方法如下：

2、1 更新SkyWalking Server组件

对于使用 SkyWalking Server 的用户，可以通过以下命令升级到最新版本：

wget https://archive.apache.org/dist/skywalking/8.9.0/apache-skywalking-apm-8.9.0.tar.gz
tar -zxvf apache-skywalking-apm-8.9.0.tar.gz
cd apache-skywalking-apm-8.9.0
./bin/startup.sh

2、2 更新SkyWalking Web 组件

对于使用 SkyWalking Web 的用户，可以通过以下命令升级到最新版本：

wget https://archive.apache.org/dist/skywalking/8.9.0/apache-skywalking-apm-8.9.0.tar.gz
tar -zxvf apache-skywalking-apm-8.9.0.tar.gz
cd apache-skywalking-apm-8.9.0/webapps/graphql_frontend/target/scala-2.13/*/*.jar
mv graphql_frontend*.jar graphql_frontend_new.jar

然后重启 Web 服务器。

相关问题与解答

Q1:如何判断自己的 SkyWalking 是否受到了这两个漏洞的影响？

A1:你可以通过查看 SkyWalking 的官方发布说明或者在 GitHub 仓库中搜索相关的漏洞报告来获取相关信息，你还可以使用一些安全扫描工具(如 Nexpose、OpenVAS 等)来检测你的系统中是否存在这两个漏洞。

Q2:除了升级补丁之外，还有哪些措施可以提高 SkyWalking 的安全性？

A2:除了升级补丁之外，你还可以考虑以下措施来提高 SkyWalking 的安全性：

1)限制对 SkyWalking API 的访问权限，只允许可信的 IP 地址访问；

2)对敏感数据进行加密存储；

3)定期审查和更新 SkyWalking 的安全策略；

4)加强用户认证和授权机制，防止未经授权的访问；

5)定期进行安全审计，发现并修复潜在的安全漏洞。