最近,Kong宣布了有关Kong Admin Restful API Gateway未授权裂痕的风险通知。裂痕编号为CVE-2020-11710,而且裂痕级别很高。
Kong是一个云原生,快速,可扩展的漫衍式微处事抽象层(也称为API网关或API中间件)。它的焦点代价是高机能和可扩展性,于2015年作为一个开源项目提供。
努力维护,Kong已遍及用于从初创公司到Global 5000的公司以及当局组织的出产中。
Kong API网关打点员节制界面具有未授权的会见裂痕。进攻者可以直接节制API网关,并通过Kong API网关打点员节制界面使其成为开放的流量署理,以会见内部敏感处事。
企业凡是将Kong用作云原生架构的API网关,而且成立方法凡是遵循官方准则。
默认环境下,Admin Restful API(端口:8001/8444)也果真给民众网络,从而使进攻者可以完全节制Kong网关的所有行为。进攻者可以执行的操纵包罗但不限于:
添加到要害Intranet处事的路由
将Kong设为署理节点以嗅探可会见的内部处事
受影响的版本
Kong 2.0.2及更低版本
我们发起用户实时安装最新的修补措施。
Linux公社的RSS地点:https://www.linuxidc.com/rssFeed.aspx