【安全通告】关于 DolphinScheduler 漏洞情况的说明

点击上方 蓝字关注我们

【安全通报】

【影响程度：低】

Apache DolphinScheduler 社区邮件列表最近通告了 1 个漏洞，考虑到有很多用户并未订阅此邮件列表，我们特地在此进行情况说明：

CVE-2021-27644

重要程度：低

影响范围：暴露服务在外网中、且内部账号泄露。如果无上述情况，用户可根据实际情况决定是否需要升级。

影响版本：<1.3.6

漏洞说明：

此问题是由于mysql connectorj 漏洞引起的，DolphinScheduler 登陆用户（未登录用户无法执行此操作，建议企业做好账号安全规范）可在数据源管理页面-Mysql数据源填写导致安全隐患的恶意参数。（未使用 Mysql 数据源的不影响）

修复建议：升级到>=1.3.6版本

特别感谢

特别感谢漏洞报告者：来自蚂蚁安全非攻实验室的锦辰同学，他提供了漏洞的还原过程以及对应的解决方案。整个过程呈现了专业安全人员的技能和高素质，感谢他们为开源项目的安全守护所作出的贡献。

建议

十分感谢广大用户选择 Apache DolphinScheduler 作为企业的大数据任务调度系统，但必须要提醒的是调度系统属于大数据建设中核心基础设施，请不要将其暴露在外网中。此外应该对企业内部人员账号做好安全措施，降低账号泄露的风险。

贡献

迄今为止，Apache DolphinScheduler 社区已经有近 200+ 位代码贡献者，70+ 位非代码贡献者。其中也不乏其他Apache 顶级项目的 PMC 或者 Committer，非常欢迎更多伙伴也能参与到开源社区建设中来，为建造一个更加稳定安全可靠的大数据任务调度系统而努力，同时也为中国开源崛起献上自己的一份力量！

官网 ：https://dolphinscheduler.apache.org/

MailList ：dev@dolphinscheduler@apache.org

Twitter ：@DolphinSchedule

YouTube ：https://www.youtube.com/channel/UCmrPmeE7dVqo8DYhSLHa0vA

Slack ：https://s.apache.org/dolphinscheduler-slack

Contributor Guide：https://dolphinscheduler.apache.org/en-us/community/index.html

如果对漏洞有任何疑问，欢迎参与讨论，竭诚解决大家的疑虑。

☞Apache DolphinScheduler 1.3.9 发布，新增 StandaloneServer

☞美女亲自带你快速上手 DolphinScheduler

☞手把手教你 Apache DolphinScheduler 本地开发环境搭建 | 中英文视频教程

☞Apache DolphinScheduler使用规范与使用技巧分享

点击阅读原文，加入开源！

点个在看你最好看