7 月 18 日,Apache SkyWalking 团队在官方博客宣布了 SkyWalking NodeJS 0.5.1 补丁版本(CVE-2022-36127)发布的消息,并提醒所有用户及时升级。
在官方账号 @ASFSkyWalking 的最新推文中,Apache SkyWalking 也对此消息做了公开宣布:
据悉,全新发布的 SkyWalking NodeJS 0.5.1 补丁版本,修复了所有早期版本 <=0.5.0中的漏洞。SkyWalking 建议所有使用版本 <=0.5.0 的用户升级到此版本。(NodeJS 对已安装的服务具有服务不可用性影响)
如果标头包含非法的 SkyWalking 标头,例如(1)OAP 不健康,且下游服务的代理无法建立连接,则该漏洞将导致安装了该代理的 NodeJS 服务不可用。(2) 一些采样机制在下游代理中被激活。
SkyWalking 是国内首个发展成为 Apache 顶级项目的个人开源 APM 项目(针对分布式系统的应用性能监控系统),包括在云原生架构中对分布式系统的监视、跟踪和诊断功能,特别针对微服务、cloud native 和容器化(Docker, Kubernetes, Mesos)架构。
全新发布的 SkyWalking NodeJS 0.5.1 补丁版可使用下面的链接下载镜像:
https://skywalking.apache.org/downloads/