五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

服務(wù)公告

全部公告 > 安全公告 > Apache APISIX Dashboard 未授權(quán)訪問(wèn)漏洞預(yù)警(CVE-2021-45232)

Apache APISIX Dashboard 未授權(quán)訪問(wèn)漏洞預(yù)警(CVE-2021-45232)

2021-12-29

一、概要

近日,華為云關(guān)注到Apache APISIX官方發(fā)布安全公告,披露Apache APISIX Dashboard在2.10.1之前的版本中存在一處未授權(quán)訪問(wèn)漏洞(CVE-2021-45232)。Manager API在gin框架的基礎(chǔ)上引入了droplet框架,所有的API和鑒權(quán)中間件都是基于droplet框架開(kāi)發(fā)的,但是有些API直接使用框架`gin` 的接口,從而繞過(guò)身份驗(yàn)證。目前POC已公開(kāi),風(fēng)險(xiǎn)高。

Apache APISIX是一個(gè)開(kāi)源API網(wǎng)關(guān)。華為云提醒使用Apache APISIX的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接:

https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5

https://apisix.apache.org/zh/blog/2021/12/28/dashboard-cve-2021-45232/

二、威脅級(jí)別

威脅級(jí)別:【嚴(yán)重】

(說(shuō)明:威脅級(jí)別共四級(jí):一般、重要、嚴(yán)重、緊急)

三、漏洞影響范圍

影響版本:

Apache APISIX Dashboard < 2.10.1

安全版本:

Apache APISIX Dashboard  2.10.1

四、漏洞處置

1、目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞,請(qǐng)受影響的用戶升級(jí)到安全版本:

https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、若無(wú)法及時(shí)升級(jí)的用戶,可根據(jù)官方提供的修復(fù)建議通過(guò)修改默認(rèn)用戶名和密碼,并設(shè)置訪問(wèn)Apache APISIX Dashboard的白名單進(jìn)行緩解。

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式,具體方法請(qǐng)參見(jiàn)配置Web基礎(chǔ)防護(hù)規(guī)則。

注:修復(fù)漏洞前請(qǐng)將資料備份,并進(jìn)行充分測(cè)試。