一、概要

近日，華為云關(guān)注到Apache SkyWalking官方發(fā)布最新SkyWalking 8.10版本，修復了一處SQL注入漏洞（CVE-2020-13921）。當將H2 / MySQL / TiDB用作Apache SkyWalking存儲時，在特定的SkyWalking版本中，通配符查詢案例存在SQL注入漏洞，攻擊者可通過發(fā)送特制的請求包進行SQL注入，從而導致數(shù)據(jù)庫信息泄露風險。

華為云提醒使用Apache SkyWalking用戶及時安排自檢并做好安全加固。

參考鏈接：

https://thub.com/apache/skywalking/pull/4970

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Apache SkyWalking 8.0.0 ~ 8.0.1

Apache SkyWalking 7.0.0

Apache SkyWalking 6.0.0 ~ 6.6.0

安全版本：

Apache SkyWalking 8.1.0

四、漏洞處置

目前，官方已發(fā)布新版本修復了該漏洞，請受影響的用戶升級到安全版本：

下載地址：https://github.com/apache/skywalking/releases

目前，華為云WAF已具備對該漏洞攻擊的防御能力，華為云WAF用戶將Web基礎(chǔ)防護的狀態(tài)設(shè)置為“攔截”模式即可，具體方法請參見 配置Web基礎(chǔ)防護規(guī)則。

注：修復漏洞前請將資料備份，并進行充分測試。