Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE
2024-10-9 01:31:0 Author: mp.weixin.qq.com(查看原文) 阅读量:13 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache Avro Java SDK 中存在一个严重漏洞 (CVE-2024-47561),如被成功利用可导致攻击者在可疑实例上执行任意代码。

该漏洞影响 Apahe Avro Java SDK所有1.11.4之前的版本。项目维护人员在上周发布的安全公告中提到,“在 Apache Avro 1.11.3和之前版本 Java SDK中的架构解析可导致恶意人员执行任意代码。建议用户升级至修复了该问题的1.11.4或1.12.0版本。”

Apache Avro 类似于谷歌的 Protocol Buffers (protobuf),是一款向大规模数据处理提供不分语言的数据序列化框架。Avro 团队表示,任何一款应用只要允许用户提供自己的 Avro 图式进行解析,就会受影响。Databricks 安全团队的研究员 Kostya Kortchinsky 发现并报送了该漏洞。

作为缓解措施,建议用户在解析前清理图式,并避免解析由用户提供的图式。Qualys公司的威胁研究经历 Mayuresh Dani 在一份声明中提到,“CVE-2024-47561在反序列化通过 avroAvro 图示接收的输入时,影响 Apache Avro 1.11.3和之前版本。处理来自威胁行动者的此类输入导致代码执行后果。从我们的威胁情报来看,目前尚不存在 PoC,但通过 ReflectDat 和 SpecificData 指令处理包时会触发该漏洞,且该漏洞可通过 Kafka 进行利用。Apache Avro 是一款开源项目,很多组织机构都在使用它。从公开可获取的数据来看,这些机构多数位于美国。如不修复、不监督、不防范该漏洞,则会造成很多安全后果。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞

Apache 修复严重的 OFBiz 远程代码执行漏洞

【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告

Apache 修复 Apache HTTP Server 中的源代码泄露漏洞

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

原文链接

https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520994&idx=1&sn=0feb249fd14e6b8b07d5d6531f3287c2&chksm=ea94a388dde32a9eb0fccc6276a05b3ffc8ece88601d58cd5cded78e58234b59bfe4172d8caf&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh