【漏洞通告】CVE-2022-39944 Apache Linkis反序列化漏洞

已于 2022-10-30 19:35:44 修改
阅读量888 收藏 1
点赞数 1
分类专栏: 漏洞通告 文章标签: 网络安全 安全威胁分析 web安全
于 2022-10-30 19:35:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/127602964
版权

目录

0x01 漏洞详情

0x02 影响范围

0x03 修复建议

0x04 参考链接

0x01 漏洞详情

        Apache Linkis(Incubating)是一个开源的上层应用与底层引擎之间的计算中间件,提供了强大的连接、复用、编排、扩展和处理能力。 10月26日,Apache发布安全公告,修复了Linkis中的一个反序列化漏洞(CVE-2022-39944)。 Apache Linkis版本<=1.2.0并与MySQL Connector/J一起使用时,当对数据库具有写入权限并使用MySQL数据源和恶意参数配置JDBC EC时存在反序列化漏洞,可能导致远程代码执行。

0x02 影响范围

        Apache Linkis 版本 <= 1.2.0

0x03 修复建议

        高危:目前漏洞细节和测试代码暂未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点,建议受影响用户及时更新至安全版本。

        1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

        下载链接:

        https://github.com/apache/incubator-linkis/releases/tag/1.3.0 

        2、无法升级Apache Linkis的用户也可以选择单独升级JDBC EngineConn。

        下载链接:

        https://github.com/apache/incubator-linkis/tree/master/linkis-engineconn-plugins/jdbc

0x04 参考链接

https://lists.apache.org/thread/rxytj48q17304snonjtyt5lnlw64gccchttps://lists.apache.org/thread/rxytj48q17304snonjtyt5lnlw64gccc

Evan Kang
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Apache ShenYu Admin plugin 未授权访问漏洞(CVE-2022-23944)
weixin_44047654的博客
02-14 1520
Apache ShenYu Admin plugin 未授权访问漏洞(CVE-2022-23944)
Goby漏洞更新|Apache ShenYu Admin plugin 接口未授权访问漏洞CVE-2022-23944)
m0_46699477的博客
04-07 672
Apache ShenYu是美国阿帕奇(Apache)基金会的一个异步的,高性能的,跨语言的,响应式的 API 网关。Apache ShenYu 2.4.0 和 2.4.1存在访问控制错误漏洞,该漏洞源于用户无需身份验证即可访问 /plugin api。
基于LazyList的Scala反序列化漏洞透析(CVE-2022-36944)
qq_42585535的博客
08-16 201
Scala反序列化的研究,原理及复现
​Chamilo命令执行漏洞CVE-2023-34960)复现
m0_46317063的博客
06-26 1966
CVE-2023-34960
无胁科技-TVD每日漏洞情报-2022-11-23
wuthreat无胁科技的博客
11-28 620
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-44158;漏洞编号:CVE-2022-41945;
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1<Apache spark 版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Bitbucket Server and Data Center命令注入漏洞(CVE-2022-43781)
include_voidmain的博客
12-28 702
跟进看一下命令在哪里执行的以及环境变量用来干什么,在RemoteUserNioProcessConfigurer中的configure方法成功命中断点,这里发现已经传入了git命令,但是漏洞描述说的是使用用户名环境变量造成的注入,所以只需关注环境变量部分。这个函数是\com\atlassian\bitbucket\internal\-process\NioProcessParameters.java中新增的,其中调用的函数对key进行了非空判断,对key和valve都进行了空字节的检测。
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 8734
CVE-2022-33891漏洞原理、环境搭建和复现
CVE-2022-36446 Webmin命令注入漏洞复现
热爱学习,喜欢折腾!
08-15 3649
Webmin是一款功能强大的基于Web的Unix系统管理工具,管理员可以通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。近日,Webmin被披露存在一个任意命令注入漏洞CVE-2022-36446),其CVSS评分为9.8,目前该漏洞的PoC/EXP已公开。Webmin版本1.997之前,由于缺乏输入清理,导致可以注入将连接到包管理器调用的任意命令。经过身份验证且有权访问软件包更新模块的用户可以通过在新软件包安装期间执行 OS 命令注入实现在系统上以 root 权限运行命令。........
微软十二月补丁星期二值得关注的漏洞
smellycat000的专栏
12-14 1584
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士十二月补丁星期二,微软共发布52个补丁,加上本月早些时候修复的两个CVE,微软共计修复54个漏洞。在这52个漏洞中,43个是“重要”评级,3个是“中危”评级。一如既往,12月的补丁星期二体量较小,整体而言,2022年是微软第二个最忙碌的补丁年,共计修复900多个CVE。2个已遭利用的0day微软在十二月补丁星期二中修复了2个0day,其中一个已遭...
CVE-2022-43781随便写写分析
最新发布
2401_82670286的博客
01-29 869
Atlassian Bitbucket Server和Atlassian Bitbucket Data Center都是澳大利亚Atlassian公司的产品。Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。
GLPI htmLawedTest.php 远程命令执行漏洞CVE-2022-35914)复现+深度利用(详细图文)
m0_60884805的博客
10-09 2227
​ GLPI10.0.2及之前版本存在安全漏洞,该漏洞源于htmlawed模块中的/vendor/htmlawed/htmlawed/htmLawedTest.php允许PHP代码注入。 ​
Apache Kylin的未授权配置泄露漏洞(CVE-2020-13937)复现
锋刃科技的博客
03-05 2609
漏洞概述 Apache Kylin是一个开源的分布式分析引擎,它最初由eBay开发,现在是Apache Software Foundation的项目。Apache Kylin建立在Apache Hadoop,Apache Hive,Apache HBase,Apache Parquet,Apache Calcite,Apache Spark和其他技术之上。这些技术使Kylin可以轻松扩展以支持海量数据负载。 ApacheKylin有一个restfulapi会在没有认可认证的情况下暴露配置信息...
无胁科技-TVD每日漏洞情报-2022-10-28
wuthreat无胁科技的博客
10-28 489
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-24082;漏洞编号:CVE-2022-42953;
无胁科技-TVD每日漏洞情报-2022-12-13
wuthreat无胁科技的博客
12-15 397
参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?漏洞编号:CVE-2022-25260;漏洞编号:CVE-2022-45506;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Evan Kang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值