10月3日Apache基金會發布公告,表明旗下的資料序列化框架Avro存在資安漏洞CVE-2024-47561,該漏洞發生在Java軟體開發套件(SDK),CVSS風險評分達到7.3,影響1.11.3之前的版本,該基金會發布1.11.4及1.12.0修補。
開發團隊表示,問題出在舊版Avro的Java SDK處理Schema過程中,攻擊者有機會觸發漏洞並執行任意程式碼,呼籲用戶儘速套用新版程式,後續他們回答提問時提到:假如使用者能夠提供自己的Schema,任何應用程式都有可能受到影響。
資安新聞網站Hacker News對這項漏洞提出進一步說明,假如使用者能夠提供自己的Schema,任何應用程式都有可能受到影響。
資安新聞網站Hacker News的相關報導,也引用資安業者Qualys威脅研究團隊經理Mayuresh Dani的說法,他表示,該弱點的位置是從Schema收到反序列化輸入過程。根據該公司掌握的威脅情報,目前尚未有人提供概念性驗證程式碼(PoC),但他們表示這項漏洞在透過ReflectData與SpecificData指令處理套件時就會出現,而且,攻擊者可透過分散式事件處理平臺Kafka利用。
Dani指出,大多數採用Avro的企業組織位於美國,若是他們不予修補、監督或採取保護措施,就有可能產生很多安全問題。
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-15
2024-11-26
2024-11-25
Advertisement