服務(wù)公告
Apache APISIX Dashboard 未授權(quán)訪問(wèn)漏洞預(yù)警(CVE-2021-45232)
2021-12-29
一、概要
近日,華為云關(guān)注到Apache APISIX官方發(fā)布安全公告,披露Apache APISIX Dashboard在2.10.1之前的版本中存在一處未授權(quán)訪問(wèn)漏洞(CVE-2021-45232)。Manager API在gin框架的基礎(chǔ)上引入了droplet框架,所有的API和鑒權(quán)中間件都是基于droplet框架開(kāi)發(fā)的,但是有些API直接使用框架`gin` 的接口,從而繞過(guò)身份驗(yàn)證。目前POC已公開(kāi),風(fēng)險(xiǎn)高。
Apache APISIX是一個(gè)開(kāi)源API網(wǎng)關(guān)。華為云提醒使用Apache APISIX的用戶及時(shí)安排自檢并做好安全加固。
參考鏈接:
https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5
https://apisix.apache.org/zh/blog/2021/12/28/dashboard-cve-2021-45232/
二、威脅級(jí)別
威脅級(jí)別:【嚴(yán)重】
(說(shuō)明:威脅級(jí)別共四級(jí):一般、重要、嚴(yán)重、緊急)
三、漏洞影響范圍
影響版本:
Apache APISIX Dashboard < 2.10.1
安全版本:
Apache APISIX Dashboard 2.10.1
四、漏洞處置
1、目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞,請(qǐng)受影響的用戶升級(jí)到安全版本:
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
2、若無(wú)法及時(shí)升級(jí)的用戶,可根據(jù)官方提供的修復(fù)建議通過(guò)修改默認(rèn)用戶名和密碼,并設(shè)置訪問(wèn)Apache APISIX Dashboard的白名單進(jìn)行緩解。
華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式,具體方法請(qǐng)參見(jiàn)配置Web基礎(chǔ)防護(hù)規(guī)則。
注:修復(fù)漏洞前請(qǐng)將資料備份,并進(jìn)行充分測(cè)試。