Apache Linkis 修复多个漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Apache Linkis 是一款热门的计算中间件，用于弥合上层应用程序和底层引擎之间的差距，从而能够无缝访问多个引擎如 MySQL、Spark、Hive、Presto 和 Flink。然而，研究人员在 Apache Linkis 中发现多个需要解决的重要漏洞，以确保用户数据和系统的持续安全性和完整性。

CVE-2023-27602是位于 Apache Linkis PublicService 模块中的不受限文件上传漏洞，影响1.3.1及之前版本。该漏洞可用于攻陷用户系统的完整性。建议用户升级至Apache Linkis 1.3.2版本，修复该漏洞。对于1.3.1及之前版本，用户应通过如下设置，启动 linkis.properties 文件中的文件路径检查：

wds.linkis.workspace.filesystem.owner.check=true

wds.linkis.workspace.filesystem.path.check=true

CVE-2023-27603 是位于Apache Linkis Manager 模块中的 Zip Slip 漏洞，影响1.3.1及之前版本，产生的原因是 engineConn 物料上传中缺少正确的 zip 路径检查造成的，可能导致远程代码执行漏洞。为缓解该漏洞，建议用户升级至 Apache Linkis 版本1.3.2。

CVE-2023-29215是位于 Apache Linkis JDBC EngineConn 中的反序列化命令执行漏洞，影响1.3.1及之前版本，产生原因是参数过滤不足。攻击者可利用该漏洞获得远程代码执行能力。为缓解该漏洞，用户应升级至 Apache Linkis 1.3.2 版本。

CVE-2023-29216 是存在于 Apache Linkis DatasourceManager 模块中的反序列化命令执行漏洞，影响1.3.1及之前版本，是由于对 DatasourceManager 模块中的参数过滤不充分造成的，可导致攻击者使用恶意 MySQL 数据源和参数触发反序列化漏洞，从而导致远程代码执行后果。用户应升级至 Apache Linkis 版本1.3.2，缓解该漏洞。

CVE-2023-27987是位于 Aapche Linkis Gateway 模块中的令牌验证绕过漏洞，影响1.3.1及之前版本，是由 Linkis Gateway 部署所生成的默认令牌太过于简化造成的，导致攻击者易于获取并利用默认令牌。用户应升级至 Apache Linkis 1.3.2版本并修改默认令牌值，缓解漏洞。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告

Apache Superset中存在严重漏洞

Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告

速修复！Apache Commons Text 存在严重漏洞，堪比Log4Shell

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

原文链接

https://securityonline.info/apache-linkis-patched-several-important-security-vulnerabilities/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~