漏洞预警|Apache Linkis 存在反序列化漏洞

最新推荐文章于 2024-10-14 12:36:47 发布
最新推荐文章于 2024-10-14 12:36:47 发布
阅读量398 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/130160136
版权

棱镜七彩安全预警

近日网上有关于开源项目Apache Linkis 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Linkis 在上层应用程序和底层引擎之间构建了一层计算中间件。通过使用Linkis 提供的REST/WebSocket/JDBC 等标准接口,上层应用可以方便地连接访问MySQL/Spark/Hive/Presto/Flink 等底层引擎,同时实现统一变量、脚本、用户定义函数和资源文件等用户资源的跨上层应用互通,以及通过REST标准接口提供了数据源管理和数据源对应的元数据查询服务。 作为计算中间件,Linkis 提供了强大的连通、复用、编排、扩展和治理管控能力。通过将应用层和引擎层解耦,简化了复杂的网络调用关系,降低了整体复杂度,同时节约了整体开发和维护成本。

项目主页

https://linkis.apache.org/

代码托管地址

https://github.com/apache/linkis

CVE编号

CVE-2023-29216

漏洞情况

Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。

该项目受影响版本存在存在反序列化漏洞,由于SqlConnection.java中未对host、port、username,、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可通过控制 MySQL 服务在客户端执行任意远程代码。

受影响的版本

org.apache.linkis:linkis-metadata-query-service-jdbc@(-∞, 1.3.2)

修复方案

将组件 org.apache.linkis:linkis-metadata-query-service-jdbc 升级至 1.3.2 及以上版本

链接地址:

NVD - CVE-2023-29216

update jdbc connect logic (#4412) · apache/linkis@7005c01 · GitHub

oss-security - CVE-2023-29216: Apache Linkis DatasourceManager module has a deserialization command execution

棱镜七彩
关注
Apache Linkis 修复多个漏洞
smellycat000的专栏
04-13 992
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache Linkis 是一款热门的计算中间件,用于弥合上层应用程序和底层引擎之间的差距,从而能够无缝访问多个引擎如 MySQL、Spark、Hive、Presto 和 Flink。然而,研究人员在 Apache Linkis 中发现多个需要解决的重要漏洞,以确保用户数据和系统的持续安全性和完整性。CVE-2023-27602是位于 Apac...
Linkis踩坑记录
yjyj001的专栏
05-25 250
写过好多个程序都需要调用到Random这个类,来生成随机字符串,一直都是用的时候去网上现找,没有认真研究过这个类,今天趁着刚买了心爱的T61,心情大爽,好好敲一下键盘,来写一写这个类吧。Java Doc对它的描述: public class Randomextends Objectimplements Serializable 此类的实例用于生成伪随机数流。此类使用 48 位的种子,使用线性同余
【高危】Apache Linkis <1.3.2 存在反序列化漏洞(CVE-2023-29216)
murphysec的博客
04-13 597
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。 该项目受影响版本存在存在反序列化漏洞,由于SqlConnection.java中未对host、port、username,、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可通过控制 MySQL 服务在客户端执行任意远程代码。
【大数据】Linkis安装及使用各种引擎过程中常见的一些问题及解决方法
像风走过八千里
03-27 3986
我们都知道Linis是连接多个计算存储引擎的中间间,我们可以提交执行SQL、Pyspark、HiveQL、Scala等脚本。Linis中有一个专门处理引擎的模块(Linkis/linkis-engineconn-plugins),我们安装Linis后,默认的引擎只有,但其支持的引擎很多,所以,如果我们想要用默认之外的其他引擎,需要自己安装 引擎安装 (1)在Linkis/linkis-engineconn-plugins下找到要安装的引擎,进行编译打包 (2)打包成功后相应target下会有个out.zip
【高危】Apache Linkis JDBC EngineConn 插件<1.3.2 存在反序列化漏洞
murphysec的博客
04-13 718
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。 该项目受影响版本存在反序列化漏洞,由于ConnectionManager.java中未对dbUrl、username、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可通过控制 MySQL 服务在客户端执行任意远程代码。
《磐石计划:Web安全漏洞与渗透测试》笔记
break_cat的博客
02-02 6972
课程:磐石计划:Web安全漏洞与渗透测试 主讲老师:陈殷 课程详情:https://www.cnblogs.com/xuanhun/p/12849767.html 本文内容:磐石计划课堂笔记 引用:课程讲义(作者:陈殷),课程PPT 1.安全概念 1.1初探安全 信息安全 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数.
Notes Ninth Day-渗透攻击-红队-打入内网
热门推荐
qq_34801745的博客
09-25 1万+
** Notes Ninth Day-渗透攻击-红队-打入内网(dayu) ** 作者:大余 时间:2020-09-25 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继
Notes Sixth day-渗透攻击-红队-打入内网
qq_34801745的博客
09-22 5431
** Notes Sixth day-渗透攻击-红队-信息收集(dayu) ** 作者:大余 时间:2020-09-22 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继
JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
杨荧的CSDN博客
10-10 1441
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
Puppeteer自动化:使用JavaScript定制PDF下载
ip16yun的博客
10-08 914
Puppeteer 是一个强大的Node.js库,提供了对无头Chrome或Chromium的控制,可以用于生成网页快照、抓取数据、自动化测试等任务。其中,生成PDF文件是一个常见的需求,本文将通过使用Puppeteer展示如何自动化生成定制的PDF,并使用代理IP、设置user-agent、cookie等技术来增强自动化过程的灵活性与稳定性。为了更好地理解如何定制Puppeteer生成的PDF文件,我们提供一个生成A4纸张格式的网页PDF的实例。用户可以根据需求自定义输出的PDF格式或内容。
Netty 相比原生IO模型的优势
lssffy的博客
10-09 654
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
JavaSE——认识异常
wx2023_10_15的博客
10-12 940
本文主要是正在学习异常的总结,主要讲了异常的概念、体系结构、分类、处理以及捕获,还有自定义异常类
springboot 用request.setAttribute 传值到控制层
qq56477643的博客
10-09 598
【代码】springboot 用request.setAttribute 传值到控制层。
【网络编程】掌握Java网络编程:深入理解Socket通信与实战技巧
Dylaniou的博客
10-11 1042
Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用,从简单的客户端-服务器模型到复杂的分布式系统。Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用,从简单的客户端-服务器模型到复杂的分布式系统。希望本文能帮助您掌握Java网络编程的核心技术,并在实际项目中灵活运用。如果您有任何疑问或想要分享经验,请在评论区留下您宝贵的意见!🚀🌐🔌。
Unsafe 详解
qq_73210658的博客
10-10 2472
学习JUC的过程中发现有一个类很神奇,今天我们就来一起学习一下Unsafe类。
Java基础-基础知识体系小结 Q/A
令狐_JackieHao的博客
10-10 1298
Java基础知识的一些梳理
C++ 的存储类型与新的 thread_local
最新发布
oRbIt 的专栏
10-14 511
存储周期只是一个概念,是程序语义范畴内的东西,但不是语法的范畴。存储类型说明符也被称为存储类型,它们是变量声明语法中类型说明符的一部分,它们和变量名的范围一起控制变量的两个独立属性,即存储周期和链接属性。
JavaScript前端开发技术
Chujun123528的博客
10-12 967
JavaScript前端开发是一个充满挑战和机遇的领域。随着技术的不断进步和用户需求的变化,前端开发者需要不断学习新知识、掌握新技能,以应对日益复杂和多样化的开发需求。同时,注重性能优化和安全实践也是前端开发不可或缺的一部分。通过不断探索和创新,我们可以为用户创造更加优质、高效和安全的Web体验。在JavaScript前端开发的学习过程中,建议从基础语法入手,逐步掌握DOM操作、事件处理、Ajax通信等核心技能。同时,关注最新的前端框架和库的发展动态,尝试将它们应用到实际项目中。
SpringBoot 集成 Redis 总结
SOS5418818845的博客
10-11 494
Redis 是一个开源的内存数据结构存储系统,它可以用作数据库、缓存和消息中间件。Redis 以其高效的性能、丰富的数据结构和简单的 API 而受到广泛关注。它将数据存储在内存中,并可以通过持久化机制将数据保存到硬盘上,以防止数据丢失。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值