聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞影响 Apahe Avro Java SDK所有1.11.4之前的版本。项目维护人员在上周发布的安全公告中提到,“在 Apache Avro 1.11.3和之前版本 Java SDK中的架构解析可导致恶意人员执行任意代码。建议用户升级至修复了该问题的1.11.4或1.12.0版本。”
Apache Avro 类似于谷歌的 Protocol Buffers (protobuf),是一款向大规模数据处理提供不分语言的数据序列化框架。Avro 团队表示,任何一款应用只要允许用户提供自己的 Avro 图式进行解析,就会受影响。Databricks 安全团队的研究员 Kostya Kortchinsky 发现并报送了该漏洞。
作为缓解措施,建议用户在解析前清理图式,并避免解析由用户提供的图式。Qualys公司的威胁研究经历 Mayuresh Dani 在一份声明中提到,“CVE-2024-47561在反序列化通过 avroAvro 图示接收的输入时,影响 Apache Avro 1.11.3和之前版本。处理来自威胁行动者的此类输入导致代码执行后果。从我们的威胁情报来看,目前尚不存在 PoC,但通过 ReflectDat 和 SpecificData 指令处理包时会触发该漏洞,且该漏洞可通过 Kafka 进行利用。Apache Avro 是一款开源项目,很多组织机构都在使用它。从公开可获取的数据来看,这些机构多数位于美国。如不修复、不监督、不防范该漏洞,则会造成很多安全后果。”
原文始发于微信公众号(代码卫士):Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论