导 读
Apache Avro Java 软件开发工具包 (SDK) 中披露了一个严重安全漏洞,如果成功利用,则可能允许在易受攻击的实例上执行任意代码。
该漏洞编号为CVE-2024-47561,影响 1.11.4 之前的所有软件版本。
项目维护人员在上周发布的一份公告中表示:“Apache Avro 1.11.3 及之前版本的 Java SDK 中的模式解析允许恶意行为者执行任意代码。建议用户升级到1.11.4或 1.12.0 版本,以修复此问题。”
Apache Avro 类似于 Google 的协议缓冲区 ( protobuf ),是一个开源项目,为大规模数据处理提供了与语言无关的数据序列化框架。
Avro 团队指出,如果应用程序允许用户提供自己的 Avro 模式进行解析,则该漏洞会影响任何应用程序。Databricks 安全团队的 Kostya Kortchinsky 因发现并报告此安全漏洞而受到赞誉。
作为缓解措施,建议在解析模式之前对其进行清理,并避免解析用户提供的模式。
Qualys 威胁研究经理 Mayuresh Dani 表示:“CVE-2024-47561 会影响 Apache Avro 1.11.3 及之前的版本,同时对通过 avroAvro 模式收到的输入进行反序列化。”
“处理来自威胁组织的此类输入会导致代码执行。根据我们的威胁情报报告,没有公开的 PoC,但在通过ReflectData 和 SpecificData 指令处理包时存在此漏洞,也可以通过 Kafka 利用。”
“由于 Apache Avro 是一个开源项目,因此许多组织都在使用它。根据公开数据,这些组织中的大多数都位于美国。如果不进行修补、无人监督和保护,这肯定会带来很多安全隐患。”
安全公告:https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x
链接:
https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Apache Avro SDK 严重缺陷导致 Java 应用程序中存在远程代码执行
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论