从这个网页截图中,我们可以提取到的关于漏洞的关键信息如下: 漏洞描述: - 影响版本: < v0.23 - 漏洞类型: 安全性,与disable lua scripting默认开启有关。攻击者可以利用默认安装的skipper读取任意文件。 - 详细说明: 存在弱点,允许默认的skipper安装被滥用使得skipper进程可以读取任意文件。其可被利用程度取决于定制安装和环境,特别是是否能被不可信用户利用。 - 相关报告: GHSA-cc8m-98fm-rc9g 提供了漏洞的详细报告。 漏洞修复措施: - 修复版本: v0.23.0 - 修复措施: 默认禁用Lua脚本功能。 配置指南: 自2022年起提供详细的Lua配置指南,让操作员在不太受信任的环境中也能选择如何使用Lua,例如只允许某些操作员在skipper可以访问的文件中引用lua源码并运行提供的脚本。 报告贡献者: b0b0haha 和 moyushui 两位用户提供了关于如何利用此漏洞的详细报告。 解决方式: - 作为库用户: 可通过配置选项 Enlightenment:true 启用旧默认值。 - 作为二进制或容器用户: 可通过命令行选项 --enable-lua 启用旧默认值。 Workaround for <v0.23: - 对于库用户,可通过配置 LuaSources 为 "file"。 - 对于二进制或容器用户,可通过 --lua-sources=file 选项。 Markdown格式的内容如下: yaml skipper.options { EnableLua:true, } bash skipper --enable-lua