Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE

最新推荐文章于 2024-10-09 20:49:05 发布
最新推荐文章于 2024-10-09 20:49:05 发布
阅读量11 收藏
点赞数
文章标签: apache java 开发语言
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520994&idx=1&sn=0feb249fd14e6b8b07d5d6531f3287c2&chksm=ebe8e2919a8cad3a697df0633352dca82219b1cbcce7ea8cf151c4a6c879ced4eeb9c40addff&scene=126&sessionid=0
版权

485ffb98cf17825f225113cafbe4ccb9.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Apache Avro Java SDK 中存在一个严重漏洞 (CVE-2024-47561),如被成功利用可导致攻击者在可疑实例上执行任意代码。

55290d72e5754ce6d04657dc80f37e9e.png

该漏洞影响 Apahe Avro Java SDK所有1.11.4之前的版本。项目维护人员在上周发布的安全公告中提到,“在 Apache Avro 1.11.3和之前版本 Java SDK中的架构解析可导致恶意人员执行任意代码。建议用户升级至修复了该问题的1.11.4或1.12.0版本。”

Apache Avro 类似于谷歌的 Protocol Buffers (protobuf),是一款向大规模数据处理提供不分语言的数据序列化框架。Avro 团队表示,任何一款应用只要允许用户提供自己的 Avro 图式进行解析,就会受影响。Databricks 安全团队的研究员 Kostya Kortchinsky 发现并报送了该漏洞。

作为缓解措施,建议用户在解析前清理图式,并避免解析由用户提供的图式。Qualys公司的威胁研究经历 Mayuresh Dani 在一份声明中提到,“CVE-2024-47561在反序列化通过 avroAvro 图示接收的输入时,影响 Apache Avro 1.11.3和之前版本。处理来自威胁行动者的此类输入导致代码执行后果。从我们的威胁情报来看,目前尚不存在 PoC,但通过 ReflectDat 和 SpecificData 指令处理包时会触发该漏洞,且该漏洞可通过 Kafka 进行利用。Apache Avro 是一款开源项目,很多组织机构都在使用它。从公开可获取的数据来看,这些机构多数位于美国。如不修复、不监督、不防范该漏洞,则会造成很多安全后果。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞

Apache 修复严重的 OFBiz 远程代码执行漏洞

【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告

Apache 修复 Apache HTTP Server 中的源代码泄露漏洞

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

原文链接

https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

b93e6082eaf9c94902bcc3b276d692c4.jpeg

6800c086e2bb736f8440b7e7030e6087.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   7e6a3bc44e36ff52120ad64c6e360c4a.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
java解析avro包_Java实现数据序列化工具Avro的例子
weixin_42202605的博客
02-26 977
1、Avro简介Avro是一个数据序列化的系统。它可以提供:1)丰富的数据结构类型2)快速可压缩的二进制数据形式3)存储持久数据的文件容器4)远程过程调用RPC5)简单的动态语言结合功能,Avro和动态语言结合后,读写数据文件和使用RPC协议都不需要生成代码,而代码生成作为一种可选的优化只值得在静态类型语言实现Avro依赖于模式(Schema)。Avro数据的读写操作是很频繁的,而这些操作都需...
avro-example:这是一个简短的练习,用于举例说明使用 Java 使用 Apache Avro:trade_mark:
05-29
avro-example ## 示例:使用 JavaApache Avro Apache Avro:trade_mark: 是一个数据序列化系统。 这是一个简短的练习,用于举例说明如何使用 Java 来使用 Apache Avro:trade_mark:。 文档:
详细介绍apache Avro协议
全栈工程师,热爱编程,喜欢探索各种技术栈。分享前端、后端、数据库等技术学习心得,以及在项目开发中的实践经验。
05-31 1082
Apache Avro是一种数据序列化框架,最初由Apache Hadoop项目开发。它使用JSON格式来定义数据结构(模式),并提供了一种紧凑的二进制格式来存储和传输数据。Avro具有高效的序列化和反序列化性能,是Hadoop生态系统的标准数据交换格式。首先,需要定义一个Avro模式文件(schema)来描述数据结构。
Apache avro常用Java数据类型序列与反序列化
TMH_ITBOY的博客
02-01 1225
背景 在大数据领域,总是会遇到需要将各种数据类型序列化成字节数组,或者从字节数组反序列化回常用数据类型的场景,比如,Spark推荐使用kyro,HBase,使用HBase提供的工具来进行序列化以及反序列化,HBase内部使用google的probuff来序列化进行网络通讯等情况,以及hadoop使用Apache avro来序列化。当然,各种序列化方式的性能以及效率各种优缺点(此文不做对比)。 以上序列化都是框架内部已经给我们做好了序列化以及反序列化操作,如果我们在实际工作,需要自己手动来序列化的场景,
Apache Avro 1.11.0 入门 (Java 版本)
拉风小宇的博客
04-26 1509
这是使用 Java 开始使用 Apache Avro™ 的简短指南。 本指南仅涵盖使用 Avro 进行数据序列化; 请参阅 Patrick Hunt 的 Avro RPC 快速入门,了解如何使用 Avro 进行 RPC。 1. 下载 可以从 Apache Avro™ 发布页面下载 C、C++、C#、Java、PHP、Python 和 Ruby 的 Avro 实现。 本指南使用撰写本文时的最新版本 Avro 1.11.0。 对于本指南的示例,请下载 avro-1.11.0.jar 和 avro-tools-
4.2 ApacheAvro编程Java示例
王小雷-多面手
07-08 1171
4.2ApacheAvro编程Java示例 “卜算子·大数据”一个开源、成体系的大数据学习教程。——每周日更新 本节主要内容: 创建Gradle项目、创建Avro模式 使用Avro命令行工具生成Java代码 不使用Avro命令行工具生成Java代码 4.2.1 创建Gradle项目、创建Avro模式 Github源码 创建Gradle项目 添加Avro依赖 compile gr...
java使用avro数据格式,尝试Apache Avro支持的各种数据类型
weixin_42613583的博客
03-15 1467
Apache Avro是一个独立与编程语言的数据序列化系统,该项目由DougCutting(Hadoop之父)牵头创建的。它可以提供:丰富的数据结构类型快速可压缩的二进制数据形式存储持久数据的文件容器远程过程调用(RPC)同动态语言的简单集成。读写数据文件和使用RPC协议都不需要生成代码,而代码生成作为一种可选的优化只值得在静态类型语言实现。今天尝试一下Apache Avro支持的各种数据类型。...
Apache Avro 序列化与反序列化 (Java 实现)
varyall的专栏
04-15 2625
像两个人交流一样要找一个互相能理解的语言, 在国内为普通话, 跑国外多用英语相通, 两个进程间通信也需要找一个大家都能理解的数据格式. 简单的如 JSON, XML, 那是自我描述性格式, XML 有 Schema 定义, 但尚无正式的 JSON Schema 规范. 在讲求效率的场合, 纯文本式的数据交换格式无法满足要求, 于是有二进制的 Google Protobuf 和 Apache Avr...
131.Avro格式数据与在spark应用
大勇若怯任卷舒
10-27 1322
【代码】131.Avro格式数据与在spark应用
Java 与 Python 通过 Apache Avro 交换数据
一叶不知秋
04-14 1276
最近转战到 Amazon 的云服务 AWS 上,考虑到在使用它的 Lambda 服务时 Python 应用有比较可观的启动速度,与之相比而言,Java 总是慢热型,还是一个内存大户。所以有想法 Lambda 函数用 Python 来写,来增强响应速度,而内部的应用仍然采用 Java, 于是就有了 Java 与 Python 的数据交换格式。使用 Kafka 的时候是用的 Apache Avro
test_avro:在 spring 使用 apache avro
06-17
test_avro 使用 jetty 和 apache avro 进行 Spring Boot 概念验证 使用 jetty 运行 spring boot 项目: mvn spring-boot: run Avro 的概念证明在测试,所以使用:mvn test 结尾。-
Apache Avro
04-12
Apache Avro™ is a data serialization system. To learn more about Avro, please read the current documentation. To download Avro, please visit the releases page. Developers interested in getting more ...
gradle-avro-plugin:一个Gradle插件,可以轻松地为Apache Avro执行Java代码生成。 它支持JSON模式声明文件,JSON协议声明文件和Avro IDL文件
04-02
Java 16似乎可以在Gradle 7.0-rc-1工作; 使用风险自负 Java 15支持需要Gradle 6.7或更高版本(根据Gradle的发行说明) Java 14支持需要Gradle 6.3或更高版本(根据Gradle的发行说明) Java 13支持需要Gradle ...
apache avro 简介
08-09
Apache Avro是大数据领域不可或缺的一部分,它提供了一种强大的数据序列化和通信解决方案。了解并熟练使用Avro,对于提升大数据项目的数据处理效率和跨系统通信能力至关重要。同时,熟悉Avro的源码有助于开发者...
PHP的HTTP请求:Apache客户端的高效应用
2401_87195067的博客
10-09 553
Apache HttpClient是Apache软件基金会提供的一个库,它支持HTTP协议的多个版本,包括HTTP/1.1和HTTP/2。它提供了丰富的功能,如连接管理、HTTP状态管理、自动重定向等。
大数据-159 Apache Kylin 构建Cube 准备和测试数据
永远好奇,无限进步!
10-09 1050
Apache Kylin 是一个开源的分布式分析引擎,专注于提供大数据的实时OLAP(在线分析处理)能力。Cube(立方体)是 Apache Kylin 的核心概念之一,通过预计算大规模数据的多维数据集合,加速复杂的 SQL 查询。
APACHE
最新发布
gsdgdg00的博客
10-09 671
所说的静态文件指的是图片、js、css等文件,用户访问一个站点,其实大多数元素都是图片、js、css等,这些静态文件其实是会被客户端的浏览器缓存到本地电脑上的,目的就是为了下次再请求时不再去服务器上下载,这样就加快了速度,提高了用户体验。- **Worker多进程的多线程模式(常用)**:采用多进程和多线程混合模式,适合高并发(并发是指用户同时访问服务器的用户量)场景,在多进程通过管理线程预先创建空闲线程来提高响应速度和效率,但需关注线程安全问题,适用于处理动态资源,但在处理静态资源方面相对较弱。
大数据-158 Apache Kylin 安装配置详解 集群模式启动
永远好奇,无限进步!
10-08 1975
需要注意:要求HBase的hbase.zookeeper.quorum值必须只能是 host1、host2这种,不允许host1:2181、host2:2181这种。你可以通过wegt或者本地下载完传到服务器上,按照需求,我这里是上传到 h122 节点上。修改完的结果为如下:(这里我暂时注释了,防止我的FlinkYRAN以后不能用了)我这里就不根据上图来做了,因为我的服务器资源比较紧张,我就自由安排了。h121运行即可,但是要检查确认。h121运行即可,但是要检查确认。h121运行即可,但是要检查确认。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值