久久综合人妻AV四区|国产乱伦手机av片免费|作爱视频在线观看免费|黄色免费三级片高清|国产黄色在线播放|久久精品丝袜噜噜丝袜|国模激情128p|欧美黄片免费视频|草碰日产人人一级爱|日韩欧美亚洲综合在线观看

2020年4月16日，金山云安全應急響應中心監(jiān)控到業(yè)內安全廠商發(fā)布了一則安全公告，描述了Kong API網關的一個高危漏洞，Kong API網關管理員控制接口存在未授權訪問漏洞，攻擊者可以通過Kong API網關管理員控制接口，直接控制 API 網關并使其成為一個開放性的流量代理，從而訪問到內部的敏感服務。

對此，金山云安全響應中心建議廣大用戶及時安裝最新補丁，做好資產自查及預防工作，以免遭受攻擊。

漏洞編號:

CVE-2020-11710

漏洞名稱:

Kong Admin Restful API網關未授權漏洞

危害等級:

高危

漏洞描述:

Kong API 網關 是目前最受歡迎的云原生API網關之一，有開源版和企業(yè)版兩個分支，被廣泛應用于云原生、微服務、分布式、無服務云函數等場景的API接入中間件，為云原生應用提供鑒權，轉發(fā)，負載均衡，監(jiān)控等能力。Kong API 網關管理員控制接口存在未授權訪問漏洞，攻擊者可以通過 Kong API 網關管理員控制接口，直接控制 API 網關并使其成為一個開放性的流量代理，從而訪問到內部的敏感服務。

企業(yè)在使用 Kong 作為云原生架構的API網關時，通常會使用容器的方式進行搭建，以支持分布式和可擴展性；而在 2.0.3 版本之前，當企業(yè)遵循官方文檔或默認配置使用 Docker 容器的方式搭建 Kong API 網關時，官方文檔和默認配置都會指引用戶將未經鑒權的 Admin 管理能力對公網開放（0.0.0.0），導致攻擊者可以控制網關的全部能力，修改 upstreams、services、router 等配置，進而攻擊企業(yè)內網。Kong 官方在安裝指引中針對通過 docker 進行實際部署的示范如下圖：

默認將 Admin Restful API (port: 8001/8444) 也一并暴露在了公網之上，進而導致攻擊者可以完全控制 Kong 網關的所有行為。

影響版本:

Kong < 2.0.3

修復方案：

受影響應用升級到 git commit d693827c32144943a2f45abc017c1321b33ff611 版本，

官方下載地址為：

Kong git commit 補丁地址

https://github.com/Kong/docker-kong/commit/dfa095ca df7e8309155be51982d8720daf32e31c

臨時修復建議 ：

1. 自行修改 docker-compose.yaml 中的內容將端口映射限制為 127.0.0.1

2. 通過 IPS/防火墻 等設備將 Kong Admin Restful API 相關端口禁止外部流量進入 

參考鏈接：

https://mp.weixin.qq.com/s/mzwwjglGKi8prm5SoaJaww

北京金山云網絡技術有限公司

2020/04/16