Apache InLong 反序列化漏洞

最新推荐文章于 2024-08-07 09:58:56 发布

开源生态安全OSCS

最新推荐文章于 2024-08-07 09:58:56 发布

阅读量1.1k

点赞数

分类专栏：漏洞情报订阅文章标签： apache 安全

本文链接：https://blog.csdn.net/cups107/article/details/126972087

版权

漏洞描述

Apache InLong 是一款针对海量数据的一站式集成框架。

受影响版本 Apache InLong 中 MySQL 中数据在反序列化时缺少过滤，导致能指定 MySQL JDBC 连接 URL 参数的攻击者可能会在 Apache InLong 服务器上执行远程代码。

攻击者可利用该漏洞进行远程代码执行，甚至接管服务器。

漏洞名称	Apache InLong 反序列化漏洞
漏洞类型	使用欺骗进行的认证绕过
发现时间	2022/9/21
漏洞影响广度	一般
MPS编号	MPS-2022-57298
CVE编号	CVE-2022-40955
CNVD编号	-

影响范围

org.apache.inlong:manager-pojo@[1.3.0-RC0, 1.3.0)

修复方案

将组件 org.apache.inlong:manager-pojo 升级至 1.3.0 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-57298

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

开源生态安全OSCS

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

开源项目介绍｜Apache InLong-分布式消息中间件系统

腾讯开源

06-11

4073

2021腾讯犀牛鸟开源人才培养计划开源项目介绍滑至文末报名参与开源人才培养计划提交项目ProposalApache InLong介绍Apache InLong（原Apache TubeMQ...

【高危】Apache Inlong 存在JDBC反序列化漏洞

murphysec的博客

06-07

1369

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

参与评论您还未登录，请先登录后发表或查看评论

Apache InLong 开源项目教程

gitblog_00376的博客

08-07

922

Apache InLong 开源项目教程 inlongApache InLong - a one-stop, full-scenario integration framework for massive data项目地址:https://gitcode.com/gh_mirrors/in/inlong 项目介绍 Apache InLong 是一个一站式全场景的集成框架，专为海量数据设计。它支持...

Apache InLong毕业成为顶级项目，具备百万亿级数据流处理能力！

过往记忆大数据

06-23

485

Apache社区首个一站式大数据集成顶级项目正式诞生。刚刚获悉，全球最大的开源软件基金会Apache软件基金会正式宣布，Apache InLong成功从Apache孵化器毕业成为社区顶级项目，这个最初由腾讯捐献给Apache社区的一站式海量数据集成框架，可以为大数据开发者提供百万亿级数据流高性能处理能力，以及千亿级数据流高可靠服务。点击文末左下角“阅读原文”查看Apach...

Apache InLong：一站式大数据集成框架

最新发布

gitblog_01120的博客

08-07

830

Apache InLong：一站式大数据集成框架 inlongApache InLong - a one-stop, full-scenario integration framework for massive data项目地址:https://gitcode.com/gh_mirrors/in/inlong 项目介绍 Apache InLong 是一个一站式、全场景的大数据集成框架，支持数据...

Apache InLong（incubating）全新 1.1.0 版发布，都有哪些新特性？

腾源会

04-28

2019

InLong（应龙）:中国神话故事里的神兽，可以引流入海，借喻 InLong 系统提供数据接入能力。Apache InLong（应龙）是一个一站式的海量数据集成平台，提供自动、安全、可靠和高性能的数据传输能力，同时支持批和流，方便业务构建基于流式的数据分析、建模和应用。InLong 支持大数据领域的采集、汇聚、缓存和分拣功能，用户只需要简单的配置就可以把数据从数据源导入...

【技术推荐】WebLogic 反序列化漏洞深入分析

m0_73257876的博客

09-25

3168

WebLogic 漏洞存在较多的反序列化类和反序列化的途径，在使用黑名单防御手段下，攻击者只要找到新的反序列化触发点，就能造成新的危害。比如，你有一个类 A，类里面有个属性是类 B，这个时候，在反序列化的过程中，就会先反序列化类 A，之后在填充类 A 的过程中，继续反序列化类 B，类 B 在反序列化完成后，填充到类 A 中，同时整个过程都在一个流中操作，这个时候，只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单！

Dubbo反序列化漏洞分析集合

AS011x的博客

09-09

3782

调用相应的反序列化函数对数据流进行反序列化操作。，如果不满足则直接抛出异常。若pojo为Map实例，则从pojo（也就是一开始的第三个参数）获取key为“class”的值，并通过反射得到class所对应的类type，再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的，其中一种利用方式就是通过在读取version的时候，调用readUTF方法，跟进。主要是通过获取tag位，进行相应的处理，但是这里关键的就是，当这里不是一个String类型的时候，将会抛出异常。

从零开始的JAVA反序列化漏洞学习（一）

qq_31028197的博客

12-04

3216

前言：大概是决定复现CVE，第一个拿cve-2016-4437试试，但是之前没接触过JAVA，在历经磨难安装好IDEA maven和依赖环境，跟着各位师傅的教程调试源代码发现大佬们的教程都是跟到可以控制传入readObject()的反序列化就没了，再细查便是什么CC4，CC3.1之类看上去很深奥的东西。深感基础不足，从头开始学JAVA的各种机制，如有疏漏不足请在评论中指出。利用Java反射执行代码 Java的反序列化是离不开Java的反射机制的，反射机制离不开Object类和Class类，关于反射已经

Java Apache中的高危漏洞复现

tpaer的博客

08-12

1490

在15年Apache Commons Collections（ACC）被两位黑客爆出存在`反序列化漏洞`，由于Apache下的其他框架也免不了大量使用像List、Map、Set等Collection类，因此该漏洞覆盖范围非常之大。并且通过此漏洞可以执行任意操作，也是当年最危险的漏洞之一。...

java源码生成jar包-incubator-inlong:ApacheInLong

06-05

java源码生成jar包阿帕奇TubeMQ (incubating) 是一个万亿级记录规模的分布式消息队列（MQ）系统，专注于海量数据下的数据传输和存储。与众多开源MQ项目相比，TubeMQ在稳定性、性能、低成本等方面具有独特的优势。它提供了多种功能：可插拔传输协议，例如 TCP、SSL 支持大数据和流媒体生态系统集成按时间或偏移量的消息追溯高效的拉推式消费模式灵活的分布式横向扩展部署架构用于配置的功能丰富的管理仪表板认证和授权联系我们邮件列表名称范围发展相关讨论主页：问题：贡献我们始终欢迎新的贡献，无论是琐碎的清理、新功能还是其他物质奖励，更多详细信息请参见。构建 TubeMQ 先决条件 Java 1.8 Maven 3.3+ 构建分发包编译打包： mvn clean package -DskipTests （可选）使用 Docker 构建： docker run -v REPLACE_WITH_SOURCE_PATH:/tubemq apachetubemq/tubemq-build clean package -DskipTests 运行单

Apache InLong(incubating) 发布 0.12.0 版本

开源社KAIYUANSHE的博客

01-23

477

| 作者：Apache InLong|编辑：金心悦| 设计：杨敏| 责编：王玥敏InLong(应龙):中国神话故事里的神兽，引流入海，借喻 InLong 系统提供数据接入能力。Apa...

探索数据集成新境界：Apache InLong 开源项目深度解析

gitblog_00058的博客

06-10

424

探索数据集成新境界：Apache InLong 开源项目深度解析项目地址:https://gitcode.com/apacheinlong/inlong 在大数据时代，如何高效、安全地管理海量数据的流动成为了诸多企业和开发者共同面临的挑战。今天，我们将深入探讨一个由Apache软件基金会托管的重量级解决方案——Apache InLong，它是一个一站式、全场景的数据集成框架，旨在简化大规模数据的...

探索数据之海：拥抱Apache InLong，打造一体化大数据处理平台

gitblog_00060的博客

06-10

361

探索数据之海：拥抱Apache InLong，打造一体化大数据处理平台 inlongApache InLong - a one-stop, full-scenario integration framework for massive data项目地址:https://gitcode.com/gh_mirrors/in/inlong 在数字化转型的浪潮中，数据成为企业最宝贵的资源之一。如何高效、...

深入了解Apache InLong和重点理解Sort的应用

zhengzaifeidelushang的博客

03-01

2866

深入了解Apache InLong和重点理解Sort的应用

龙举云兴｜顶级项目 Apache InLong 核心技术探秘

cloudbigdata的博客

06-23

449

Apache 软件基金会（即 Apache Software Foundation，简称为 ASF）于近日正式宣布，Apache InLong（应龙）从孵化器成功毕业，成为基金会顶级项目！Apache 基金会公告（点击“阅读原文”查看）Apache InLong 的毕业，标志着业界首个一站式大数据集成 Apache 顶级项目诞生，也标志着第一个由腾讯捐献的 Apache...

【重磅】Apache InLong(incubating) 发布 0.10.0 版本

腾源会

09-17

660

| 导语Apache InLong 以腾讯内部使用的TDBank为原型，依托万亿级别的数据接入和处理能力，整合了数据采集、汇聚、存储、分拣数据处理全流程，拥有简单易用、灵活扩展、稳定可靠...

Apache InLong重磅发布 0.10.0 版本，着力降低用户使用门槛

Tencent_BigData的博客

09-17

436

导语：Apache InLong 以腾讯内部使用的TDBank为原型，依托万亿级别的数据接入和处理能力，整合了数据采集、汇聚、存储、分拣数据处理全流程，拥有简单易用、灵活扩展、稳定可靠等特性。 Apache InLong(孵化中) 刚刚发布了 0.10.0 版本，该版本是升级为 InLong（中文名：应龙）后的第二个版本，着力解决InLong应用门槛高问题。该版本吸引腾讯内外 10 多位开发者参与，关闭超过 120 个issue，开发超过 8 个重要Feature。 Apache InL...

Apache Shiro 1.2.4反序列化漏洞

07-27

Apache Shiro 1.2.4版本之前存在一个反序列化漏洞。在这个版本之前，默认的ASE密钥是固定的，这意味着攻击者可以直接反序列化执行恶意代码。然而，在1.2.4版本之后，ASE密钥不再是默认的，需要获取到密钥才能进行...