漏洞预警|Apache Linkis 存在反序列化漏洞

棱镜七彩安全预警

近日网上有关于开源项目Apache Linkis 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Linkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用Linkis 提供的REST/WebSocket/JDBC 等标准接口,上层应用可以方便地连接访问MySQL/Spark/Hive/Presto/Flink 等底层引擎,同时实现统一变量、脚本、用户定义函数和资源文件等用户资源的跨上层应用互通,以及通过REST标准接口提供了数据源管理和数据源对应的元数据查询服务。 作为计算中间件,Linkis 提供了强大的连通、复用、编排、扩展和治理管控能力。通过将应用层和引擎层解耦,简化了复杂的网络调用关系,降低了整体复杂度,同时节约了整体开发和维护成本。

项目主页

https://linkis.apache.org/

代码托管地址

https://github.com/apache/linkis

CVE编号

CVE-2023-29216

漏洞情况

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。

该项目受影响版本存在存在反序列化漏洞,由于SqlConnection.java中未对host、port、username,、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可通过控制 MySQL 服务在客户端执行任意远程代码。

受影响的版本

org.apache.linkis:linkis-metadata-query-service-jdbc@(-∞, 1.3.2)

修复方案

将组件 org.apache.linkis:linkis-metadata-query-service-jdbc 升级至 1.3.2 及以上版本

链接地址:

NVD - CVE-2023-29216

update jdbc connect logic (#4412) · apache/linkis@7005c01 · GitHub

oss-security - CVE-2023-29216: Apache Linkis DatasourceManager module has a deserialization command execution

你可能感兴趣的:(java,开发语言)