一、漏洞详情
apache shardingsphere是关系型数据库中间件,可将任何数据库转换为分布式数据库系统,并通过分片、弹性扩展、加密功能等对其进行增强。
近日,监测到官方发布了apache shardingsphere身份认证绕过漏洞(cve-2022-45347),apache shardingsphere-proxy在使用mysql作为后端数据库时,在客户端认证失败后并没有完全清理数据库会话,这使得攻击者可以通过构造一个特殊的mysql客户端来绕过身份认证并执行命令。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
apache shardingsphere < 5.3.0
三、修复建议
目前apache shardingsphere官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。
https://github.com/apache/shardingsphere/releases
云顶国际亚洲唯一官网 copyright © 2019-2022. 南京农业大学信息化建设中心 all rights reserved.地址:江苏省南京市玄武区卫岗1号 邮编:210095 电话:86-25-84396018
