漏洞描述:
Apache UIMA 是一个用于分析非结构化内容(比如文本、视频和音频)的组件架构和软件框架实现。由于Apache UIMA Java SDK在反序列化Java对象时没有验证数据,当应用程序中使用了Vinci 或 CasIOUtils时,攻击者可以通过发送恶意的 CAS 序列化对象执行恶意操作,导致任意代码执行。
ObjectInputFilter读取java序列化数据会严格过滤,可以通过设置全局或上下文特定的ObjectInputFilter来避免这个漏洞产生
影响范围:
org.apache.uima:uimaj-tools(-∞, 3.5.0)
org.apache.uima:uimaj-core(-∞, 3.5.0)
修复方案:
将组件 org.apache.uima:uimaj-tools 升级到 3.5.0 或更高版本
设置全局或特定于上下文的 ObjectInputFilter
将组件 org.apache.uima:uimaj-core 升级到 3.5.0 或更高版本
参考链接:
https://github.com/apache/uima-uimaj/commit/6a8ab16a604401c9e8ec5c5c94e94515371d324b
https://github.com/apache/uima-uimaj/issues/339
https://lists.apache.org/thread/lw30f4qlq3mhkhpljj16qw4fot3rg7v4
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache UIMA Java SDK <3.5.0 反序列化漏洞CVE-2023-39913
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论