棱镜七彩安全预警
近日网上有关于开源项目Apache Linkis 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Linkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用Linkis 提供的REST/WebSocket/JDBC 等标准接口,上层应用可以方便地连接访问MySQL/Spark/Hive/Presto/Flink 等底层引擎,同时实现统一变量、脚本、用户定义函数和资源文件等用户资源的跨上层应用互通,以及通过REST标准接口提供了数据源管理和数据源对应的元数据查询服务。 作为计算中间件,Linkis 提供了强大的连通、复用、编排、扩展和治理管控能力。通过将应用层和引擎层解耦,简化了复杂的网络调用关系,降低了整体复杂度,同时节约了整体开发和维护成本。
项目主页
https://linkis.apache.org/
代码托管地址
https://github.com/apache/linkis
CVE编号
CVE-2023-29216
漏洞情况
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
该项目受影响版本存在存在反序列化漏洞,由于SqlConnection.java中未对host、port、username,、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可通过控制 MySQL 服务在客户端执行任意远程代码。
受影响的版本
org.apache.linkis:linkis-metadata-query-service-jdbc@(-∞, 1.3.2)
修复方案
将组件 org.apache.linkis:linkis-metadata-query-service-jdbc 升级至 1.3.2 及以上版本
链接地址:
NVD - CVE-2023-29216
update jdbc connect logic (#4412) · apache/linkis@7005c01 · GitHub文章来源:https://www.toymoban.com/news/detail-413533.html
oss-security - CVE-2023-29216: Apache Linkis DatasourceManager module has a deserialization command execution文章来源地址https://www.toymoban.com/news/detail-413533.html
到了这里,关于漏洞预警|Apache Linkis 存在反序列化漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
