【安全通告-CVE-2022-25598】关于 DolphinScheduler 漏洞情况的说明

最新推荐文章于 2024-12-08 16:38:46 发布
原创 最新推荐文章于 2024-12-08 16:38:46 发布 · 5.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #大数据 #python #github #安全

点击蓝字 关注我们

f9ff2622c90306fab28941b7f16fa1d0.png

最近,Apache DolphinScheduler 社区邮件列表通告了 1 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情况说明:

01

CVE-2022-25598


漏洞描述:用户注册校验时可能遭受恶意参数引起的安全隐患。

重要程度:

影响范围:API 服务暴露在外网中的用户。用户可根据实际情况决定是否需要升级。

影响版本:<2.0.5

漏洞说明:

此问题是由于用户注册校验错误引起,攻击者可以在注册页面填写导致安全隐患的恶意参数。

修复建议:

升级到>=2.0.5版本

02

特别感谢

特别感谢漏洞报告者:来自哈尔滨工业大学的王政同学,他提供了漏洞的还原过程以及对应的解决方案。整个过程呈现了专业安全人员的技能和高素质,感谢他们为开源项目的安全守护所作出的贡献。



03

建议

十分感谢广大用户选择 Apache DolphinScheduler 作为企业的大数据任务调度系统,但必须要提醒的是调度系统属于大数据建设中核心基础设施,请不要将其暴露在外网中。此外应该对企业内部人员账号做好安全措施,降低账号泄露的风险。



04

贡献


迄今为止,Apache DolphinScheduler 社区已经有近 300+ 位代码贡献者,100+ 位非代码贡献者。其中也不乏其他 Apache 顶级项目的 PMC 或者 Committer,非常欢迎更多伙伴也能参与到开源社区建设中来,为建造一个更加稳定安全可靠的大数据任务调度系统而努力,同时也为中国开源崛起献上自己的一份力量!

官网 :https://dolphinscheduler.apache.org/

MailList :dev@dolphinscheduler@apache.org

Twitter :@DolphinSchedule

YouTube :https://www.youtube.com/channel/UCmrPmeE7dVqo8DYhSLHa0vA

Slack :https://s.apache.org/dolphinscheduler-slack

Contributor Guide:https://dolphinscheduler.apache.org/en-us/community/index.html

如果对漏洞有任何疑问,欢迎参与讨论,竭诚解决大家的疑虑。

参与贡献

随着国内开源的迅猛崛起,Apache DolphinScheduler 社区迎来蓬勃发展,为了做更好用、易用的调度,真诚欢迎热爱开源的伙伴加入到开源社区中来,为中国开源崛起献上一份自己的力量,让本土开源走向全球。

4dd178e3989f8a0116df58a90ef97914.png

参与 DolphinScheduler 社区有非常多的参与贡献的方式,包括:

a6422492808042d60f950b9254020d1f.png

贡献第一个PR(文档、代码) 我们也希望是简单的,第一个PR用于熟悉提交的流程和社区协作以及感受社区的友好度。

社区汇总了以下适合新手的问题列表:https://github.com/apache/dolphinscheduler/issues/5689

非新手问题列表:https://github.com/apache/dolphinscheduler/issues?q=is%3Aopen+is%3Aissue+label%3A%22volunteer+wanted%22

如何参与贡献链接:https://dolphinscheduler.apache.org/zh-cn/docs/development/contribute.html

来吧,DolphinScheduler开源社区需要您的参与,为中国开源崛起添砖加瓦吧,哪怕只是小小的一块瓦,汇聚起来的力量也是巨大的。

参与开源可以近距离与各路高手切磋,迅速提升自己的技能,如果您想参与贡献,我们有个贡献者种子孵化群,可以添加社区小助手微信(Leonard-ds) ,手把手教会您( 贡献者不分水平高低,有问必答,关键是有一颗愿意贡献的心 )。

添加小助手微信时请说明想参与贡献。

来吧,开源社区非常期待您的参与。

98a4d541f26ef64d1bd52505d57a8402.png

☞Apache SeaTunnel (Incubating) 2.1.0 发布,内核重构、全面支持 Flink

☞全面拥抱 K8s,ApacheDolphinScheduler 应用与支持 K8s 任务的探索

☞杭州思科对 Apache DolphinScheduler Alert 模块的改造

日均处理 10000+ 工作流实例,Apache DolphinScheduler 在 360 数科的实践

☞Apache DolphinScheduler 2.0.5 发布,Worker 容错流程优化

☞Apache DolphinScheduler 版本控制核心原理揭

☞喜讯 | Apache DolphinScheduler PMC Chair 代立冬,PMC 郭强获邀成为 ASF Member

☞途家大数据平台基于 Apache DolphinScheduler 的探

索与

实践

点击阅读原文,参与开源!

Apache DolphinScheduler JS 任意代码执行漏洞复现 (CVE-2024-23320)
m0_50797689的博客
02-26 1108
Apache DolphinScheduler JS 任意代码执行漏洞复现 (CVE-2024-23320)
Apache DolphinScheduler高危漏洞
m0_48520508的博客
09-18 894
1、Apache DolphinScheduler概述 Apache DolphinScheduler(Incubator,原Easy Scheduler)是一个分布式数据工作流任务调度系统,主要解决数据研发ETL错综复杂的依赖关系,而不能直观监控任务健康状态等问题。Easy Scheduler以DAG流式的方式将Task组装起来,可实时监控任务的运行状态,同时支持重试、从指定节点恢复失败、暂停及Kill任务等操作。 以下是Apache DolphinScheduler架构图: 2、Apache Dolp
安全通报】DolphinScheduler 漏洞情况说明及处理
数据之路
09-16 1539
Apache DolphinScheduler 社区邮件列表最近通告了 2 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情况说明CVE-2020-11974[1] 漏洞 (CVE-2020-11974[1]) 是与 mysql connectorj 远程执⾏代码漏洞有关,mysql connectorj 漏洞详情请参见: https://securityonline.info/mysql-connectorj-remote-code-execution-vulnerability/
安全通告】关于 DolphinScheduler 漏洞情况说明
Apache DolphinScheduler开源社区
10-26 643
点击上方蓝字关注我们【安全通报】【影响程度:低】Apache DolphinScheduler 社区邮件列表最近通告了 1 个漏洞,考虑到有很多用户并未订阅此邮件列表,我们特地在此进行情...
阿里云mysql启动3523_Dolphinscheduler漏洞复现与分析
weixin_31496135的博客
01-30 585
0x00 前言上周看到有人在群里发了绿盟的漏洞通告https://mp.weixin.qq.com/s/TvT22Wdw-SPBCKcl2pm2Pg好奇点进去看了下,找到了漏洞信息,然后想着还没人发复现文章,我自个也整一个。从搭建环境开始到最后复现成功各种踩坑,本来想放弃的,后来想了下还是坚持下来了。其实回过头来看觉得自己好蠢,明明就是半天就能搞定的事情。。。非得整了好几天。0x01 漏洞相关官方...
精选资源
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
精选资源
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
精选资源
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
精选资源
Microsoft Exchange CVE-2022-41040 & CVE-2022-41082 Nmap检测脚本
10-03
CVE-2022-41040 Microsoft Exchange Server权限提升漏洞CVE-2022-41082 Microsoft Exchange Server 远程执行代码漏洞 Nmap漏洞检测脚本 使用发发: -- @usage -- nmap --script proxynotshell_checker.nse -p...
漏洞通告】Apache DolphinScheduler高危漏洞CVE-2020-11974、CVE-2020-13922)
爱国小白帽
09-11 3327
原创 威胁对抗能力部[绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0051 2020-09-11 TA****G: Apache DolphinSchedulerCVE-2020-11974、CVE-2020-13922 漏****洞危害: 攻击者利用漏洞,可实现权限提升与远程代码执行。 版本: 1.0 1 漏洞概述 9月11日,绿盟科技监测到Apache软件基金会发布安全公告,修复了Apache DolphinSchedule
DolphinScheduler 1.x使用经验篇及bug解决篇
二锅头的博客
08-16 1437
这里是小编对DolphinScheduler使用经验以及解决的bug分享
dolphinscheduler 3.0.1 安全中心
10-30 637
3.0 用户管理授权做了优化,新增了云相关模块
DolphinScheduler 入门(安全中心配置)
weixin_45417821的博客
09-26 2878
租户对应的是 Linux 的用户,用于 worker 提交作业所使用的用户。打开要设置分组的 Worker 节点上的 worker.properties 配置文件,修改worker.groups 参 数,worker.groups 参数的值为该 Worker 节点对应的分组名称,默认为 default,如果该 worker节点属于多个分组,则多个分组名称以逗号隔开。一个告警组可包含多个告警实例,一个告警实例,需选择一个告警插件,并配置相应参数,目前支持的告警插件有电子邮件、钉钉、企业微信、飞书等。
NSS [NSSRound#18 Basic]easy_rw
Jay17的博客
07-29 946
NSS [NSSRound#18 Basic]easy_rw
漏洞复现】CVE-2024-30188 Arbitrary File Writing
最新发布
Mitchell_Donovan的博客
12-08 1094
File read and write vulnerability in Apache DolphinScheduler , authenticated users can illegally access additional resource files. This issue affects Apache DolphinScheduler: from 3.1.0 before 3.2.2. Users are recommended to upgrade to version 3.2.2, which
mybatisplus版本引发的连接泄漏血案
沉迷Spring的博客
05-19 3799
上周几次接到同事电话说线上环境用户登陆失败,我一查线上日志看到很多Connection timeout的错, 因为我们用到了HikariCP连接池,理论上来说不会出现连接泄漏的问题,我就加了HikariCP的leakDetectionThreshold连接泄漏检测配置。 今晚又被提示说登陆不上了,我一看日志,果真如提前预料的那样也是Connection timeout的错,但是这次竟然日志中没有出现Apparent connection leak detected类似的字样,甚是奇怪。 其实在去年年底的时候
漏洞复现】CVE-2023-49299 Expression Injection
Mitchell_Donovan的博客
11-30 1649
Improper Input Validation vulnerability in Apache DolphinScheduler. An authenticated user can cause arbitrary, unsandboxed javascript to be executed on the server.This issue affects Apache DolphinScheduler: until 3.1.9. Users are recommended to upgrade to
漏洞复现】CVE-2024-23320 Expression Injection
Mitchell_Donovan的博客
11-30 1601
Improper Input Validation vulnerability in Apache DolphinScheduler. An authenticated user can cause arbitrary, unsandboxed javascript to be executed on the server. This issue is a legacy of CVE-2023-49299. We didn't fix it completely in CVE-2023-49299, and
分析CVE-2022-37969 Windows本地提权漏洞原理
最后,标签中提到的“windows 系统安全 系统漏洞 windows漏洞 CVE-2022-37969”不仅为本资源提供了核心主题,也指明了这一漏洞对Windows系统安全的重要性。安全社区成员和用户都应该对此类漏洞保持警惕,以便能够...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DolphinScheduler社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值