Apache HertzBeat SnakeYaml反序列化漏洞安全风险通告

admin 2024年9月26日13:06:13评论14 views字数 636阅读2分7秒阅读模式
漏洞背景

近日,嘉诚安全监测到Apache HertzBeat中修复SnakeYaml反序列化漏洞,漏洞编号为:CVE-2024-42323。

Apache HertzBeat (incubating)是一个易于使用的开源实时监控系统,具有无代理(Agentless)、高性能集群、兼容prometheus、提供强大的自定义监控和状态页面构建功能。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞。在受影响版本中,由于使用了存在漏洞的SnakeYaml解析库,可能导致经过身份验证的攻击者通过恶意YAML配置文件(被HertzBeat用于定义监控类型或其他关键配置)触发反序列化漏洞,从而导致远程代码执行。

危害影响

影响版本:

Apache HertzBeat < 1.6.0

处置建议

目前该漏洞已经修复,受影响用户可升级到Apache HertzBeat 1.6.0或更高版本。

下载链接:

https://github.com/apache/hertzbeat/releases

参考链接:

https://lists.apache.org/thread/dwpwm572sbwon1mknlwhkpbom2y7skbx

https://github.com/apache/hertzbeat/pull/1239

Apache HertzBeat SnakeYaml反序列化漏洞安全风险通告Apache HertzBeat SnakeYaml反序列化漏洞安全风险通告

原文始发于微信公众号(嘉诚安全):【漏洞通告】Apache HertzBeat SnakeYaml反序列化漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月26日13:06:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache HertzBeat SnakeYaml反序列化漏洞安全风险通告https://cn-sec.com/archives/3209382.html

发表评论

匿名网友 填写信息