Genie是Netflix开发的开源分布式作业编排引擎,提供REST-ful API来运行各种大数据作业,例如Hadoop、Pig、Hive、Spark、Presto、Sqoop等,还提供API用于管理许多分布式处理集群的元数据以及在集群上运行的命令和应用程序。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
经研判,该漏洞为高危漏洞,且漏洞细节及PoC已公开。由于Genie的API接受multipart/form-data文件上传并可将文件保存到磁盘上,但在将文件写入磁盘时会使用用户提供的文件名,由于文件名是由用户控制,攻击者可操纵文件名执行路径遍历攻击,利用该漏洞将文件(如恶意共享对象文件)写入文件系统上Java进程具有写访问权限的任意位置,从而导致远程代码执行。
Genie OSS < 4.3.18
目前该漏洞已经修复,受影响用户可升级到Genie OSS 4.3.18或更高版本。
下载链接:
https://github.com/Netflix/genie/tags
参考链接:
https://github.com/Netflix/security-bulletins/blob/master/advisories/nflx-2024-001.md
https://github.com/Netflix/genie/security/advisories/GHSA-wpcv-5jgp-69f3
https://www.contrastsecurity.com/security-influencers/contrast-security-discovers-netflix-oss-genie-application-path-traversal-vulnerability-that-can-lead-to-rce-during-file-upload
原文始发于微信公众号(嘉诚安全):【漏洞通告】Netflix Genie文件上传路径遍历漏洞安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论