漏洞预警|Apache Linkis 存在反序列化漏洞


棱镜七彩安全预警

SAFETY WARNING

近日网上有关于开源项目Apache Linkis 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。





项目介绍


ApacheLinkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用Linkis 提供的REST/WebSocket/JDBC 等标准接口,上层应用可以方便地连接访问MySQL/Spark/Hive/Presto/Flink 等底层引擎,同时实现统一变量、脚本、用户定义函数和资源文件等用户资源的跨上层应用互通,以及通过REST标准接口提供了数据源管理和数据源对应的元数据查询服务。作为计算中间件,Linkis 提供了强大的连通、复用、编排、扩展和治理管控能力。通过将应用层和引擎层解耦,简化了复杂的网络调用关系,降低了整体复杂度,同时节约了整体开发和维护成本。


项目主页


https://linkis.apache.org/



代码托管地址



https://github.com/apache/linkis



CVE编号



CVE-2023-29216



漏洞情况



Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。

该项目受影响版本存在存在反序列化漏洞,由于SqlConnection.java中未对hostportusername,password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可通过控制 MySQL 服务在客户端执行任意远程代码。



受影响的版本



org.apache.linkis:linkis-metadata-query-service-jdbc@(-∞, 1.3.2)



修复方案



将组件 org.apache.linkis:linkis-metadata-query-service-jdbc 升级至 1.3.2 及以上版本



链接地址:


https://nvd.nist.gov/vuln/detail/CVE-2023-29216

https://github.com/apache/linkis/commit/7005c01d7f7bca78322447f4f2f32b8398645687#diff-fbdc1d6e858556b3a29efe4862c0bbe5b66ed986f327bae43da9adafd0c4b743

https://www.openwall.com/lists/oss-security/2023/04/10/5





棱镜七彩作为国内专业开源成分管理及威胁情报服务的创新型科技企业,现全新推出柒巧板平台,免费提供一站式开源安全合规检测与开源测评服务,平台聚焦国内最主流的开源软件发展方向,助力开源行业安全与合规。更多讯息欢迎访问:https://spdx.cn/


柒巧板说



点击底部 “ 阅读原文 ” ,免费查看更多安全漏洞信息。






免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐