开源资讯 /
正文

Apache DolphinScheduler<3.2.2 远程代码执行漏洞

来源: 投稿
作者: OSCS开源供应链安全
2024-08-21 10:12:00
0

漏洞描述

Apache Dolphinscheduler 是开源的分布式任务调度系统。

受影响版本中,由于 HttpTaskDefinitionParser 类未对用户可控的 yaml 文件有效过滤,当解析攻击者构造的恶意配置文件(如执行Kubernetes Job)时会造成SnakeYaml反序列化漏洞,攻击者可利用该漏洞远程执行任意代码。

漏洞名称 Apache DolphinScheduler<3.2.2 远程代码执行漏洞
漏洞类型 代码注入
发现时间 2024-08-20
漏洞影响广度 -
MPS编号 MPS-804s-fxuh
CVE编号 CVE-2024-43202
CNVD编号 -

影响范围

dolphinscheduler@[3.0.0, 3.2.2)

org.apache.dolphinscheduler:dolphinscheduler-task-api@[3.0.0, 3.2.2)

org.apache.dolphinscheduler:dolphinscheduler-common@[3.0.0, 3.2.2)

修复方案

将组件 dolphinscheduler 升级至 3.2.2 及以上版本

将组件 org.apache.dolphinscheduler:dolphinscheduler-task-api 升级至 3.2.2 及以上版本

将组件 org.apache.dolphinscheduler:dolphinscheduler-common 升级至 3.2.2 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-804s-fxuh

https://nvd.nist.gov/vuln/detail/CVE-2024-43202

https://github.com/apache/dolphinscheduler/commit/dc306bfa1d3ed72eb7b72b177e33a46042d2a9c3

https://lists.apache.org/thread/nlmdp7q7l7o3l27778vxc5px24ncr5r5

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展开阅读全文

本站新闻禁止未经授权转载,违者依法追究相关法律责任。授权请联系:oscbianji#oschina.cn

本文标题:Apache DolphinScheduler<3.2.2 远程代码执行漏洞

本文地址:/news/308080

资讯来源:https://www.oscs1024.com/hd/MPS-804s-fxuh?src=osc

点击引领话题📣 发布并加入讨论🔥

热门内容

更多精彩内容
Wine runner 4.1.0.0 已经发布,小白友好型 Wine 运行器
django-layui-admin v2.6.1 已经发布,基于 Python 的 Layui 版敏捷开发框架
Bsin-PaaS 2.1.0 发布,一站式企业数字化低代码开发平台
Shotcut 24.09.13 发布,开源跨平台视频编辑器
Redmonk:开源软件许可变更及其对企业财务结果的影响
开源日报 | “纯血”鸿蒙9月底正式发布;VirtualBox 7.1;OpenAI o1的价值及意义;云计算的底色;丰田的软件危机
DBErp 进销存系统 V1.2 Release 240914 发布
可观测性与传统监控的区别和联系
字节跳动开放计算最佳实践,亮相 2024 开放计算中国峰会
李飞飞创办的 World Labs 获 2.3 亿美元融资
java ORM 神器 mybatis-mp,新框架、新设计、更好用!!!
:fire::fire::fire:超级 ORM 框架 mybatis-mp 预览版 1.6.8-rc 发布
网信办发布《人工智能生成合成内容标识办法(征求意见稿)》
Protocol Buffers v28.1 发布
Codes 开源研发项目管理平台 —— 创新的敏捷测试解决方案
xmake v2.9.5 发布,支持 bundle 打包
VirtualBox 7.1 发布
谷歌在搜索结果集成互联网档案馆「Wayback Machine」
Spring Framework 路径遍历漏洞
快手自研 Spark 向量化引擎发布,性能提升200%
ActiveReports 报表应用教程 (16)---报表导出
ActiveReports 报表应用教程 (9)---交互式报表之动态排序
开发了一个一起听歌聊天的开源项目
用代码聊聊我们跟目前主流前端编程不一样的地方
一套内容采集系统 解放编辑人员
ActiveReports 报表应用教程 (8)---交互式报表之动态过滤
Spread for Windows Forms快速入门(15)---使用 Spread 设计器
vscode成功变身社交平台?看我如何给vscode扩展一个聊天室!
ASP.NET MVC 5 - 验证编辑方法(Edit method)和编辑视图(Edit view)
TechED2010与我(一)―― 初来乍到
Spread for Windows Forms高级主题(7)---自定义打印的外观
如何把Excel中的单元格等对象保存成图片
MultiRow发现之旅(一)- 高效模板设计器
WPF的消息机制(三)- WPF内部的5个窗口之处理激活和关闭的消息窗口以及系统资源通知窗口
不太一样的前端开发之TypeScript装饰器和面向对象
白话和代码聊聊前端使用TypeScript如何面向对象
BBBUG音乐聊天室的开发故事和架构设计
如何遍历当前进程中的AppDomain
位图和SVG用法比较
Spread for Windows Forms快速入门(7)---单元格的交互操作
分享一些优雅的API接口开发规范
Silverlight 5 深入理解 - TechEd2011葡萄城讲师课程
MultiRow中文版技术白皮书
新写了一个基于MacOS设计的WebUI
Spread for Windows Forms高级主题(6)---数据绑定管理
如何雇人的十五条建议
ActiveReports 报表应用教程 (10)---交互式报表之向下钻取(详细数据按需显示解决方案)
TX Text Control文字处理教程(13)实现拖放操作
第十一届GPCT杯大学生程序设计大赛完美闭幕
TechED2010与我(二)―― Windows Phone 7 Develop
如何在ASP.NET中生成HTML5离线Web应用
Spread for WinRT 7新功能使用指南
也许跟大家不太一样,我是这么用TypeScript来写前端的
TX Text Control文字处理教程(4)标记文本域
Wijmo 更优美的jQuery UI部件集:通过jsFiddle测试Wijmo Gauges
应用系统中常见报表类型解析
2013 北京 QCon热点分享
Spread for Windows Forms快速入门(5)---常用的单元格类型(下)
TechED2010与我(一)―― 初来乍到
ASP.NET MVC 5 - 给电影表和模型添加新字段
MultiRow发现之旅(一)- 高效模板设计器
ASP.NET MVC 5 - 验证编辑方法(Edit method)和编辑视图(Edit view)
分享自制的C#和VB Code互转工具
Silverlight自定义数据绑定控件应该如何处理IEditableObject和IEditableCollectionView对象
基于装饰器-我又是这么用TypeScript处理表格配置的
Silverlight DataGrid使用WCF RIA Service实现Load-on-demand的数据加载
Spread for Windows Forms快速入门(13)---数据排序
用于 Windows8 的 Wijmo Charts 图表控件
TX Text Control文字处理教程(2)- 文件操作
开源了个安心用TypeScript写前端的工具库之装饰器篇
TX Text Control文字处理教程(7)邮件合并
Spread for WinRT 7新功能使用指南
给Gitee小程序加上暗黑模式是什么体验
【技术维新 践行精彩】移动互联时代的研发利器
在Silverlight中动态绑定页面报表(PageReport)的数据源
Wijmo 更优美的jQuery UI部件集:复合图表(CompositeChart)
ActiveReports 报表应用教程 (14)---数据可视化
给大家分享两款正在使用的reflector插件
免装软件和服务,使用SSH实现内网穿透并反向代理
Spread for Windows Forms快速入门(4)---常用的单元格类型(上)
Spread for Windows Forms高级主题(1)---底层模型
Spread for Windows Forms高级主题(6)---数据绑定管理
分享自制的C#和VB Code互转工具
SwiftUI在iOS上NavigationBar标题重影问题复现
ActiveReports 报表应用教程 (15)---报表换肤
Table-values parameter(TVP)系列之三: 利用Collection将其作为参数传给SP
如何把Excel中的单元格等对象保存成图片
“云”随我动近在咫尺 - 中小企业如何看待云计算?
程序员级别鉴定书(.NET面试问答集锦)
ASP.NET MVC 5 - 查询Details和Delete方法
如何遍历当前进程中的AppDomain
ActiveReports 报表应用教程 (7)---交叉报表及数据透视图实现方案
ActiveReports 报表应用教程 (15)---报表换肤
Spread for Windows Forms快速入门(15)---使用 Spread 设计器
响应式设计(Response Web Design)浅谈
用SwiftUI开发了一个Gitee在iOS上的App
分享ISTQB培训体验
2013 北京 QCon热点分享
如何在ASP.NET中生成HTML5离线Web应用

全站热门评论

fasiondog
fasiondog 2024-09-14 17:26
👍
Kevin586
Kevin586 2024-07-29 17:09
真降低成本还是得换go,java太吃内存了
279778325
279778325 2024-08-16 16:22
好不容易有个国产开发平台,没有鼓励只有贬低,就算宣传夸大怎么了?那么较真干什么?遍地都是夸大的广告宣传怎么不一个一个去找厂家?批判的同时想想自己能搞一个吗?为什么加上国产俩字就非要这么较真?
Ask_x_Seek
Ask_x_Seek 2024-09-14 15:19
支持
infoworld
infoworld 2024-09-11 18:00
感谢,正是有你们这些先驱做的实事,才能避免被国外的系统和应用垄断。
封神梦
封神梦 2024-09-14 17:53
反正wps就是各种vip广告,挺恶心人的
平波
平波 2024-09-14 19:01
你了做过为为的项目啊;😂
叨叨颠颠 2024-09-14 16:17
代码这东西就和女人穿不同衣服一样,包装不同,就可以换个人样儿,其实里面还是。字符串替换--变量名改改、方法名改改、文件名改改,方法return的改为void,值参改形参,一个类改几个拼接,一个结构体改几个组合,一个方法改几代继承。哪个敢说这是抄,百分之百纯自研,原生态。
平波
平波 2024-07-07 16:54
吃完就砸锅,好像那个啥纯血,吃完了,就想把小米,oppo、vivo的锅咂了;😂
f
fzn0268 2024-09-04 14:26
这是那个做代码生成器的老哥起的吧
开源中国首席路人王
开源中国首席路人王 2024-09-15 15:47
ipv6 tomcat需要改什么支持吗
vb2005xu
vb2005xu 2024-09-14 10:17
这数据有1%真吗
Binx
Binx 2024-09-07 08:28
最好提高苹果税到80%,不然怎么彰显尊贵的苹果用户身份
osc_566335
osc_566335 2024-08-01 15:05
“虽然两人只有大专学历”—— 大专也算高等教育,现在这些媒体口中已经文盲一个级别的感觉了吗?
来开源啊
来开源啊 2024-09-14 15:07
25× 23.1 √
Azeroth008
Azeroth008 2024-07-09 10:43
有自研操作系统挺好的啊,那些乱喷的人是什么心态?
平波
平波 2024-09-14 15:57
我倒是觉得好用,像真人就行;我可不希望它是真正的智慧生物;深度这些东东,本质就是曲面建模和贝叶斯/马尔科夫链这种概率建模;只要知识量够大,算力够强,机器就越像人;它有没有意识,并不重要;因为人的意思,估计也是伪命题;
kakai
kakai 2024-09-07 10:39
微信咋得罪你了?不管怎么样,微信此举哪怕从自身商业利益出发,让苹果降低中国税率这是利于中国人的,这个税率可不仅仅是针对微信的,还苹果大功一件,这是多么愚蠢、可耻的言论!
天1天1天 2024-09-14 16:56
文章写的也没错,至于是不是steam的功劳,也无所谓,反正能玩了。
liming0101
liming0101 2024-09-10 09:09
什么纳吉东西,还碰瓷黑神话
y
yh2216 2024-09-14 10:26
猜测:c++部分应该是切换了鸿蒙的系统api,UI则仅仅是使用鸿蒙的UI框架而已。
我要探索宇宙
我要探索宇宙 2024-09-16 14:43
3.5.2版本,队列redis能用集群模式的redis吗?
加百列Gabriel
加百列Gabriel 2024-09-14 13:50
各位不要急着更新, 更新完之后linux虚拟机不支持3D加速了
osc_566335
osc_566335 2024-08-05 10:48
os是媾粉聚集地还不了解吗?只要碰到国产、华子相关报道,必然评论区乌烟瘴气口伏声难止。还能期待啥有深度发言?大佬敢发这些,那还给搞前端什么都懂的“程序员”粪死?
Tobyee
Tobyee 2024-07-09 11:04
没GMS是借口,本质还是不想适配国内的手机系统,等鸿蒙Next出来,看微软拥抱不拥抱就知道了
简洛-默
简洛-默 2024-08-12 19:31
你是家里才通网吗? 龙芯早都弃用MIPS了,现在是自研的LoongArch。 自己好好看看吧:https://loongarch.dev/zh-cn/posts/20210501-loongarch-manual/
z
zb79463626 2024-09-15 12:07
纯血鸿蒙不再是用android改的了,DevEco什么时候也纯血脱离Eclipse啊?😄
y
yh2216 2024-09-14 10:24
wps确实做的很棒,比微软的office好用,比libreoffice好用很多。wps加油,鸿蒙做的不错,继续加油,支持生态建设。
优秀良民
优秀良民 2024-07-10 16:17
明明能躺平,明明可以割韭菜,还花钱研发?为了找骂?说这个能割韭菜?你被割了?你买了吗?是谁年年换mac,是谁年年换iphone?华为的用户好像没有那么干的吧?真让我一个小米用户都看不下去了!
osc_50722289
osc_50722289 2024-09-06 13:51
如果苹果不让步,微信也不让步那就好看了!微信在中国深入寻常百姓家!支付社交微信根本离不开,如果微信不在IOS上更新,苹果“不用混了”
HalLi
HalLi 2024-09-09 01:10
普通用户不懂就算了,怎么连程序员都不懂?苹果是全平台30%,国产是渠道服50%。微信、抖音这种大app哪来的渠道服,除了游戏,哪个app带渠道服。
开源博客
开源博客 2024-09-14 22:13
Virtualbox新管网使用vw布局单位,高分屏上使用浏览器的缩放没效果,字体仍老大==
dwingo
dwingo 2024-07-18 10:12
不是不让用jni和unsafe啊, 只是做了"限制", 只要加命令行参数就能继续用, 目的是为了让使用者考量程序的安全性.
z
zb79463626 2024-08-26 15:51
IBM中国哪有什么研发? 全部都是测试!所谓的搞研发的都是去养老混日子的!
呼呼南风
呼呼南风 2024-09-14 11:18
幸好我把自己电脑换成win10了。
浪_客
浪_客 2024-09-15 12:54
继续用vm吧,ensp不让用新版vbox😂
黑人牙膏
黑人牙膏 2024-07-21 12:12
真的人不要脸则无敌,只要他不尴尬,尴尬的是别人。
0day
0day 2024-07-21 11:52
一个流氓也配谈安全?
智布道
智布道 2024-08-13 12:02
不管是谁在打平安县城,我三五八团一定帮帮场子!
我有我可以
我有我可以 2024-07-09 11:40
喷子们之所以喷,其本质是为自己的阴暗和自卑找理由罢了。
平波
平波 2024-09-14 15:46
你真是行家里手啊,😂;这个本质是数学建模,就像初中数学中的板据两点确定一条直线,然后可以根据任意x,预测y值啊,其实就这么简单啊
阳光满地
阳光满地 2024-09-15 00:25
加个证书那么简单的事,为什么还要等下一步再优化呢?
blue_think
blue_think 2024-08-26 11:00
别光喷华为啊,说点你自己的能力,到了什么程度,有什么成就,这样好歹有点说服力吧
奶奶灰
奶奶灰 2024-09-15 20:28
换kvm 了
烈冰
烈冰 2024-07-22 08:41
不如说国内90%的电脑都没安装CrowdStrike软件
大后锋
大后锋 2024-07-10 14:03
然后交警找责任方,打过去是牛逼高大上的生成式AI的客服
fastfail
fastfail 2024-09-15 08:37
捞钱捞到手抽筋
无尽的拉格朗日
无尽的拉格朗日 2024-09-14 12:56
底层代码大部分估计都能共用反正都是c/c++, 上层界面层重写吧
RustDesk
RustDesk 2024-09-16 11:20
惨淡
l
longzz 2024-09-14 11:04
🤣65岁还在写代码吗?
深夜49
深夜49 2024-09-14 14:36
免费版只能用30分钟,太坑了吧。
Kevin586
Kevin586 2024-09-14 16:00
vagrant什么时候支持7.1我才更
CloudShi83
CloudShi83 2024-07-06 17:13
感谢祖师爷赏饭吃,给你磕一个
Yanlongli
Yanlongli 2024-07-11 17:28
降低了视觉复杂性,增高了操作复杂性。
高排量低炭烧
高排量低炭烧 2024-09-14 23:34
牛逼🤬
kushu001
kushu001 2024-08-14 15:24
为什么一定要强调“国产”?是开源的项目么?如果开源,是不是不接受国外开发者的贡献?我只是好奇,不带“国产”,是宣传不了了么😀
Francesca
Francesca 2024-09-15 17:30
会不会是你用的版本比较老,新版本应该没问题
Artrener
Artrener 2024-07-21 15:12
可以看他不爽,看360不爽,但人家说的是事实。比如说航空业的业内人士也这么说的。
songdragon
songdragon 2024-08-14 13:11
这个对比的条件还存在好几个问题。 1. solon使用的是smart-http,spring使用的是undertow 2. solon启动本身的自动配置少于spring 这两点就决定了对比的维度不同,性能更好的原因大概率是web服务器、应用配置依赖导致的。 如果要拉齐,需要使用同样的web服务器,spring应用排除掉所有的自动配置,只保留web必须的,才能说明框架的性能差距。 现在这个结果,无法说明solon本身性能好。
字节跳动开源
字节跳动开源 2024-09-14 16:05
可以的,可以看看发布的一些用户案例

热门资讯

1
鸿蒙生态繁荣背后:WPS 全面适配 HarmonyOS NEXT 的故事
2
NGINX 项目迁移到 GitHub
3
我国半导体制造核心技术实现突破
4
AMD 宣布统一 GPU 架构为 UDNA
5
当《黑神话:悟空》遇上 openKylin,国产力量的极致碰撞!
6
华为鸿蒙超越苹果 iOS,成为中国市场第二大移动操作系统
7
🔥 黑神话 Java,Solon v2.9.2 发布
8
开源日报 | AI被连续否定30次;Java“上位”;开源模型之王翻车;A18芯片采用Arm最新架构;鸿蒙系统“飞天”;IBM曾经是伟大的企业
9
VirtualBox 7.1 发布
10
开源日报 | 李彦宏内部讲话曝光;阿里25周年马云内部发声;今天的App必须要把自己AI化;软件有半衰期;开源大模型编程框架ell

精彩专栏

高手问答
往期

开发者进阶之深入理解 Linux 内核底层技术原理

程序员如何入门 AI 应用开发?

聊聊 Unity 与原生桥接

每日一博
更多

基于事件驱动的邀约自动化机制

Java虚拟线程探究与性能解析

浅析JVM invokedynamic指令和Java Lambda语法|得物技术

新闻投递
立即投递

欢迎投递软件、IT 行业

相关新闻。

推荐关注

换一批
就眠仪式
就眠仪式
开源软件作者
李玉珏
李玉珏
文章 91
访问 30.6W
_Raymond
_Raymond
文章 1
访问 368
杜耀辉
杜耀辉
文章 21
访问 2.7K
wmsnet
wmsnet
开源软件作者

热门软件

Macbuntu - 把Ubuntu打造成Mac
SwiFTP - Android上的FTP服务器
LWUIT - 手机UI工具包
Arping - ARP级别的Ping工具
DroidDraw - Android 组件界面设计工具
iBATIS - 数据持久层框架
Jackson - 高性能的 JSON 处理
ExcelLibrary - Excel 读写组件
Squid - 代理服务器
SearchStatus - FireFox的SEO工具条
Poppler Qt4
BeansDB - 分布式key/value存储系统
IKExpression - 表达式解析执行器
Py4J - Python和Java的互调接口
Regex Tester - 正则表达式测试工具
jQuery DateInput - 日期选择控件
infoScoop - Java门户平台
BackupPC - 企业级系统备份工具
Crypto-JS - JavaScript 加密库
Opentaps - 开源企业 ERP 系统
0 评论
1 收藏
分享
返回顶部
顶部