导语:近日网上有关于开源项目Apache Linkis 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
棱镜七彩安全预警
近日网上有关于开源项目Apache Linkis 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Linkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用Linkis 提供的REST/WebSocket/JDBC 等标准接口,上层应用可以方便地连接访问MySQL/Spark/Hive/Presto/Flink 等底层引擎,同时实现统一变量、脚本、用户定义函数和资源文件等用户资源的跨上层应用互通,以及通过REST标准接口提供了数据源管理和数据源对应的元数据查询服务。 作为计算中间件,Linkis 提供了强大的连通、复用、编排、扩展和治理管控能力。通过将应用层和引擎层解耦,简化了复杂的网络调用关系,降低了整体复杂度,同时节约了整体开发和维护成本。
项目主页
https://linkis.apache.org/
代码托管地址
https://github.com/apache/linkis
CVE编号
CVE-2023-29216
漏洞情况
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
该项目受影响版本存在存在反序列化漏洞,由于SqlConnection.java中未对host、port、username,、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可通过控制 MySQL 服务在客户端执行任意远程代码。
受影响的版本
org.apache.linkis:[email protected](-∞, 1.3.2)
修复方案
将组件 org.apache.linkis:linkis-metadata-query-service-jdbc 升级至 1.3.2 及以上版本
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2023-29216
https://github.com/apache/linkis/commit/7005c01d7f7bca78322447f4f2f32b8398645687#diff-fbdc1d6e858556b3a29efe4862c0bbe5b66ed986f327bae43da9adafd0c4b743
https://www.openwall.com/lists/oss-security/2023/04/10/5
如若转载,请注明原文地址