Apache Linkis 修复多个漏洞
编译:代码卫士
Apache Linkis 是一款热门的计算中间件,用于弥合上层应用程序和底层引擎之间的差距,从而能够无缝访问多个引擎如 MySQL、Spark、Hive、Presto 和 Flink。然而,研究人员在 Apache Linkis 中发现多个需要解决的重要漏洞,以确保用户数据和系统的持续安全性和完整性。
CVE-2023-27602是位于 Apache Linkis PublicService 模块中的不受限文件上传漏洞,影响1.3.1及之前版本。该漏洞可用于攻陷用户系统的完整性。建议用户升级至Apache Linkis 1.3.2版本,修复该漏洞。对于1.3.1及之前版本,用户应通过如下设置,启动 linkis.properties 文件中的文件路径检查:
wds.linkis.workspace.filesystem.owner.check=true
wds.linkis.workspace.filesystem.path.check=true
CVE-2023-27603 是位于Apache Linkis Manager 模块中的 Zip Slip 漏洞,影响1.3.1及之前版本,产生的原因是 engineConn 物料上传中缺少正确的 zip 路径检查造成的,可能导致远程代码执行漏洞。为缓解该漏洞,建议用户升级至 Apache Linkis 版本1.3.2。
CVE-2023-29215是位于 Apache Linkis JDBC EngineConn 中的反序列化命令执行漏洞,影响1.3.1及之前版本,产生原因是参数过滤不足。攻击者可利用该漏洞获得远程代码执行能力。为缓解该漏洞,用户应升级至 Apache Linkis 1.3.2 版本。
CVE-2023-29216 是存在于 Apache Linkis DatasourceManager 模块中的反序列化命令执行漏洞,影响1.3.1及之前版本,是由于对 DatasourceManager 模块中的参数过滤不充分造成的,可导致攻击者使用恶意 MySQL 数据源和参数触发反序列化漏洞,从而导致远程代码执行后果。用户应升级至 Apache Linkis 版本1.3.2,缓解该漏洞。
CVE-2023-27987是位于 Aapche Linkis Gateway 模块中的令牌验证绕过漏洞,影响1.3.1及之前版本,是由 Linkis Gateway 部署所生成的默认令牌太过于简化造成的,导致攻击者易于获取并利用默认令牌。用户应升级至 Apache Linkis 1.3.2版本并修改默认令牌值,缓解漏洞。
【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告
Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告
https://securityonline.info/apache-linkis-patched-several-important-security-vulnerabilities/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。