【 TiDB 使用环境】生产环境
【 TiDB 版本】v6.1.2
【遇到的问题:问题现象及影响】
安全漏洞扫描,发现tidb默认的status_port 10080存在目录遍历的问题,安全级别高危
请问该问题如何解决,找了好久好像都没有对访问权限的设置
内部的机器没有防火墙等限制吗?
没,关闭的,想优先方案是在tidb里做处理
iptables -A INPUT -p tcp --dport 10080 -j DROP #禁止访问10080端口
iptables -A INPUT -p tcp --dport 10080 -s 192.168.1.3 -j ACCEPT #指定ip开放10080端口的访问
这个方案是不是最简单?
所以看你们对安全漏洞的定义是什么,端口限制是网络层的,可以说是网络有安全漏洞,而不是tidb的问题
这不应该可以加密传输的么。
这个是功能。不能算漏洞
漏洞就是漏洞,不应该有个接口能访问任意文件
还好吧
哪里说到了可以访问任意文件?
目录遍历漏洞定义
目录遍历Directory traversal(也称文件路径遍历、目录穿越、路径遍历、路径穿越)是一种允许攻击者在未授权的状态下读取应用服务上任意文件的安全漏洞。这包括应用代码、数据、凭证以及操作系统的敏感文件。在有些情况下,攻击者还可能对服务器里的文件进行任意写入,更改应用数据甚至完全控制服务器。
现在这个终端工具的扫描结果是在这个端口下仅仅发现了目录结构就认为是目录遍历漏洞 ,还是已经通过这个端口访问到主机上文件了?
漏扫一般并不靠谱,往往就是看到http网站软件版本号就报漏洞,而不会真的进行漏洞攻击尝试。不过有漏洞按等保要求就要解决,也很是麻烦